Estou tentando configurar uma política para uma função do AWS IAM para limitar a suposição da função a um grupo específico, mas não consegui descobrir como fazer isso (ou se não for possível) no googling e na AWS Documentação.
Estou criando uma função (chamada ops ) que será usada por humanos para realizar operações na infraestrutura da AWS. Nosso requisito é que o multi-fator esteja habilitado para chegar a essa função (mesmo do CLI ou API). Meu requisito adicional seria permitir assumir o papel apenas para usuários pertencentes a um grupo específico (chamados operadores ).
A política anexada às operações que desenvolvi atualmente é esta (número da conta substituída):
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Condition": {
"Bool": {
"aws:MultiFactorAuthPresent": "true"
}
},
"Principal": {
"AWS": "arn:aws:iam::xxxxxxxxxxxx:root"
}
}
]
}
Como posso adicionar mais uma condição para restringir assumir essa função apenas para operadores ?
Isso é possível?
Obrigado!