在 AD + SAML 联合身份场景下,用户可能通过同一个高权限 IAM Role 登录 AWS 控制台。如果只想限制其中一部分用户不能使用 Session Manager 或 EC2 Instance Connect 登录实例,可以用 aws:userid 条件键做显式 Deny。
2026/4/6大约 2 分钟
在 AD + SAML 联合身份场景下,用户可能通过同一个高权限 IAM Role 登录 AWS 控制台。如果只想限制其中一部分用户不能使用 Session Manager 或 EC2 Instance Connect 登录实例,可以用 aws:userid 条件键做显式 Deny。