禁止成员账户访问管理账户/指定账户

有的客户担心管理账户授予某个成员账户IAM Identity Center的管理员权限以后成员账户能够访问管理账户,那么可以使用以下SCP限制成员账户的能力,注意替换accounid为你希望禁止访问的账户ID:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "*"
      ],
      "Resource": [
        "arn:aws:sso:::account/<accounid>"
      ]
    }
  ]
}

将这个SCP贴给代理管理的成员账户。

上一页通过Service Control Policies(SCP)限制只能使用某个区域的AWS服务下一页限制高危操作

最后更新于