我想阻止对我在组织的新 AWS 账户中创建的作为基础设置的某些资源的访问。我想为除管理员之外的所有用户执行此操作。此设计解决了仅管理部分的访问权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Statement1",
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"ArnNotEquals": {
"aws:PrincipalArn": [
"arn:aws:iam::*:role/myadminrole",
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/sso-region/AWSReservedSSO_myrolename"
]
}
}
}
]
}
正如您在上面的角色中看到的那样,除了管理员之外的所有人都被拒绝了,这不是我想做的,我想阻止对某些资源的访问。最简单的方法就是在“资源”下列出我想要阻止访问的资源。但这将在手动工作中解决以使该 SCP 保持最新,这是我试图避免的事情。所以我的第二个想法是使用标签,并根据以下条件拒绝访问:
"Condition": {"ForAllValues:StringEquals": {"aws:TagKeys": ["mytagkey"]}}
但是当我遇到一些 AWS 服务不支持基于标签的授权的问题时,请参阅链接: https ://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with -iam.html#:~:text=Yes-,AWS%20Lambda,Partial%C2%B2,-Amazon%20Lightsail
有谁知道解决我的问题的好方法?还是我只是让你接受我必须手动更新我的 SCP?