# AWS：拒绝访问您账户之外的资源，AWS 托管式 IAM policy 除外。
<a name="resource_examples_iam_policies_resource_account"></a>

在基于身份的策略中使用 `aws:ResourceAccount` 可能会影响用户或角色利用某些需要与服务拥有的账户中的资源进行交互的服务的能力。

您可以创建包含例外情况的策略，以允许 AWS 托管式 IAM policy。您的 AWS Organizations 外部的服务托管式账户拥有托管式 IAM 策略。有四项 IAM 操作可以列出和检索 AWS 托管式策略。在策略中的 `AllowAccessToS3ResourcesInSpecificAccountsAndSpecificService1` 语句的 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_notaction.html) 元素中使用这些操作。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "AllowAccessToResourcesInSpecificAccountsAndSpecificService1",
      "Effect": "Deny",
      "NotAction": [
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListEntitiesForPolicy",
        "iam:ListPolicies"
      ],
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceAccount": [
            "111122223333"
          ]
        }
      }
    }
  ]
}
```

------