要点:我在AWS帐户'B'中有几个ECR存储库,并希望将操作限制为帐户'A'中的'admin-users' IAM组。我通过Cloudformation创建这些资源。
我在存储库上有一个策略,将操作限制为位于A中的'admin-role' IAM角色。因此,我只想允许'admin-users'成员能够扮演该角色;但是组不能作为主体,也似乎没有条件来测试组成员身份。我相信我可以通过'admin-users'上的内联策略允许其扮演'admin-role',但是角色需要AssumeRolePolicyDocument,我无法看到任何创建空操作角色策略的方法。
我在存储库上有一个策略,将操作限制为位于A中的'admin-role' IAM角色。因此,我只想允许'admin-users'成员能够扮演该角色;但是组不能作为主体,也似乎没有条件来测试组成员身份。我相信我可以通过'admin-users'上的内联策略允许其扮演'admin-role',但是角色需要AssumeRolePolicyDocument,我无法看到任何创建空操作角色策略的方法。