h
Size: a a a
2021 February 21
G
Вот я не уверен что можно звёздочку в принципал в trusted policy, а потом дофильтровать кондишином
можно, там прям в этой доке пример такой :)
G
хотя там не трастед но по идее разницы нет
G
если вдруг есть напиши, интересно знать
G
Вот по моему есть :) сейчас узнаем
как вариант можно указать арн со звездочкой вместо аккаунта, а дофильтровать уже кондишеном
DA
Я может не в тему, но вроде ты искал вариант указания организации в ассюм полиси. вот тут есть пример https://aws.amazon.com/ru/blogs/security/how-to-use-trust-policies-with-iam-roles/
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "*"
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:PrincipalOrgID": "o-abcd12efg1"
}
}
}
]
}
G
An error occurred: Invalid principal in policy: "AWS":"arn:aws:iam::*:role/XXXX" нельзя, звездочка можно, просто "*", но меня предупредили что я дурак )
ну они не знают видимо что ты кондишеном потом прошерстишь )
G
ну ты проверь щас если лямбду дернет под он передаст правильный caller же?
G
потому что роль возьмет с аккаунта своего
G
роль лямбды на мейне должна в трастед положить екс твоих дочерних аккаунтов
а в полиси разрешение инвокать саму себя (лямбду то бишь)
а в полиси разрешение инвокать саму себя (лямбду то бишь)