0

現在、AWS SSO プロジェクトに取り組んでいます。

重要な注意事項: 現在、AWS SSO はカスタム管理ポリシーをサポートしていません。

したがって、基本的には PowerUser プロファイルが必要ですが、いくつかの小さな調整が必要です (たとえば、Guardduty でいくつかのアクションを削除するなど)。

これは機能しますか?

Type: AWS::SSO::PermissionSet
Properties: 
  InlinePolicy: '
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "NotAction": [
                "guardduty:Get*",
                "guardduty:List*"
            ],
            "Resource": "*"
        }
    ]
}
'
  InstanceArn: arn:...:sso....
  ManagedPolicies: 
    - arn:....:PowerUserAccess
  Name: MyPermSet

インライン ポリシーの拒否はすべてのアクションを上書きしますか?

ターゲット リソースを追加する必要がありますか:

"Resource": "guardduty:*"

AWS はポリシーをどのように解釈しますか? 最初に管理してから、インラインでそれらをオーバーライドできますか? 逆に?

私は少し迷っています。

4

1 に答える 1

1

Deny が機能するかどうかを確認するために、評価ロジックを確認できます。

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

上記のリンクのフローから判断すると、カスタム ポリシーの拒否は管理ポリシーの許可をオーバーライドする必要があるため (拒否が最初に評価されるため)、両方を適用すると、明示的な拒否が優先されます。同様の状況を説明する何かの良い例をここで見つけることもできます:

http://raaviblog.com/use-aws-sso-to-deny-permissions-for-iam-and-sso-itself/

いずれにしても、ポリシーが機能し、不要なアクセスが適切にブロックされることを確認してください。

于 2020-12-20T16:05:56.760 に答える