我有一个帐户,我希望为其启用跨帐户访问。为此,我需要一个 IAM 策略,以委托(delegate)人列表的形式指定我想要授予访问权限的所有账户,例如:
"Principal": { "AWS": ["arn:aws:iam::123456789012:root", ...more accounts here... ] }
我希望授予访问权限的所有账户都位于经常添加账户的 AWS 组织内。有没有一种方法可以在策略中指定组织内的所有帐户,而无需在创建新帐户时重新部署我的策略?
如果能够向组织添加帐户并自动将该帐户添加到策略中而无需显式添加,那就太好了。
最佳答案
aws:PrincipalOrgID 条件能在这里提供帮助吗?:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowGetObject",
"Action": "s3:GetObject",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": [
"o-yyyyyyyyyy"
]
}
},
"Effect": "Allow",
"Principal": {
"AWS": [
"*"
]
},
"Resource": "arn:aws:s3:::2018-Financial-Data/*"
}
]
}
关于amazon-web-services - AWS IAM 是否支持允许 AWS 组织内的所有账户的策略?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61197182/