[英]AWS IAM Policy restrict access to resources based on parent Cloudformation
在我们的 AWS 账户下,我们有多个产品,每个产品都是自己的 Cloudformation Stacks。 整个产品堆栈是 Dynamo/Serverless/Cognito。
最近,我们的一位客户引入了外部承包商来处理特定产品。
有没有办法限制他们在我们的帐户中访问部署在 cloudformation 下的所有资源?
我通过使用环境(prod/master)和产品标签标记 cloudformation 下的资源来尝试以下操作:
{
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:ResourceTag/Product": "productName",
"aws:ResourceTag/Environment": "productEnviroment"
}
}
}
]
}
这不起作用,似乎可以访问所有内容。 扭转这一点并拒绝除标记之外的所有内容,然后直接应用特定操作似乎也不起作用。
您可以创建组织单位并向其添加帐户,这些帐户只能访问这些 OU 中的资源。 它是分层的,因此您的 root 帐户将可以访问所有内容,依此类推。
组织 -> OU1 -> OU2 -> OU3
不幸的是,没有 CloudFormation for Organizations,但CLI 非常简单。
如果你想自动化这个,我会做一些事情:
基于 IAM 用户标签限制 S3 访问(前缀)的 AWS IAM 策略
[英]AWS IAM Policy To Restrict S3 Access (Prefix) Based On IAM User's Tag
aws iam 限制策略:如何仅限制用户/组已创建或将要创建的资源?
[英]aws iam restriction policy : how to restrict to only resources a user/group has created or will create?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.