我正在尝试为 AWS IAM 角色设置一个策略,以将担任该角色的限制限制在特定组中,但我无法通过谷歌搜索和 AWS 文档找到如何执行此操作(或者是否不可能)。
我正在创建一个角色(名为操作),人类将使用它来对 AWS 基础设施执行操作。我们的要求是启用多因素访问此角色(甚至从 CLI 或 API 访问)。我的进一步要求是仅允许属于特定组(称为运算符)。
附加的政策操作我目前开发的是这个(帐号已替换):
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
},
"Principal": {
"AWS": "arn:aws:iam::xxxxxxxxxxxx:root"
}
}
]
}
我如何添加进一步的条件来限制只让运算符?
这可能吗?
谢谢你!