描述成员 AWS 账户的 SCP,而不假设 AWS 管理账户
Describe a member AWS account's SCP without assuming to the AWS management account
我正在弄乱我的 AWS Organizations,我正在尝试找到查看我的身份受哪些服务控制策略约束的方法。
例如,我有一个管理账户,我在其中创建了一个 SCP Deny bugbust:* 并将该 SCP 附加到会员账户 A。政策文件:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "bugbust:*",
"Resource": "*"
}
]
}
当我在会员账户 A 中测试一个 bugbust 操作时,我被拒绝了(正如预期的那样),它说我被我的组织拒绝了。
我的问题:会员账户A的委托人有没有什么办法可以在不假设管理账户的情况下看到SCP的政策文件?
理想情况下,我想让我的会员帐户 A 中的用户了解他们的 SCP 边界,而不给他们任何组织访问主帐户的权限。恐怕这是不可能的,但我只是想确认一下。
SCP 仅对主帐户可见。成员帐户可以查看他们所在的组织并离开该组织。他们看不到他们帐户上的政策或他们所在的 OU 结构。
我正在弄乱我的 AWS Organizations,我正在尝试找到查看我的身份受哪些服务控制策略约束的方法。
例如,我有一个管理账户,我在其中创建了一个 SCP Deny bugbust:* 并将该 SCP 附加到会员账户 A。政策文件:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": "bugbust:*",
"Resource": "*"
}
]
}
当我在会员账户 A 中测试一个 bugbust 操作时,我被拒绝了(正如预期的那样),它说我被我的组织拒绝了。
我的问题:会员账户A的委托人有没有什么办法可以在不假设管理账户的情况下看到SCP的政策文件?
理想情况下,我想让我的会员帐户 A 中的用户了解他们的 SCP 边界,而不给他们任何组织访问主帐户的权限。恐怕这是不可能的,但我只是想确认一下。
SCP 仅对主帐户可见。成员帐户可以查看他们所在的组织并离开该组织。他们看不到他们帐户上的政策或他们所在的 OU 结构。