Permitir que uma função seja assumida por usuários pertencentes a um grupo com uma política do IAM

1

Estou tentando configurar uma política para uma função do AWS IAM para limitar a suposição da função a um grupo específico, mas não consegui descobrir como fazer isso (ou se não for possível) no googling e na AWS Documentação.

Estou criando uma função (chamada ops ) que será usada por humanos para realizar operações na infraestrutura da AWS. Nosso requisito é que o multi-fator esteja habilitado para chegar a essa função (mesmo do CLI ou API). Meu requisito adicional seria permitir assumir o papel apenas para usuários pertencentes a um grupo específico (chamados operadores ).

A política anexada às operações que desenvolvi atualmente é esta (número da conta substituída):

{
    "Version": "2012-10-17", 
    "Statement": [
        {
            "Action": "sts:AssumeRole", 
            "Effect": "Allow", 
            "Condition": {
                "Bool": {
                    "aws:MultiFactorAuthPresent": "true"
                }
            }, 
            "Principal": {
                "AWS": "arn:aws:iam::xxxxxxxxxxxx:root"
            }
        }
    ]
}

Como posso adicionar mais uma condição para restringir assumir essa função apenas para operadores ?

Isso é possível?

Obrigado!

    
por endorama 13.07.2017 / 16:39

0 respostas