Jos*_*ver 8 amazon-ec2 amazon-web-services amazon-iam
我试图约束特定IAM组可以描述的图像.如果我的组具有以下策略,则组中的用户可以描述任何EC2映像:
{
"Effect": "Allow",
"Action": ["ec2:DescribeImages"],
"Resource": ["*"]
}
我想只允许组描述单个图像,但是当我尝试设置时"Resource": ["arn:aws:ec2:eu-west-1::image/ami-c37474b7"],在尝试将图像描述为组的成员时会出现异常:
AmazonServiceException Status Code: 403,
AWS Service: AmazonEC2,
AWS Request ID: 911a5ed9-37d1-4324-8493-84fba97bf9b6,
AWS Error Code: UnauthorizedOperation,
AWS Error Message: You are not authorized to perform this operation.
我从EC2的IAM策略中获得了EC2图像的ARN格式,但是我的ARN可能出了问题?我已经验证了描述图像请求在我的资源值为何时正常工作"*".
Ste*_*pel 13
遗憾的是,错误消息具有误导性,问题是EC2和RDS资源的资源级权限尚不适用于所有API操作,请参阅Amazon EC2的Amazon资源名称中的此注释:
重要
目前,并非所有API操作都支持单个ARN; 我们稍后会为其他Amazon EC2资源添加对其他API操作和ARN的支持.有关可以与哪些Amazon EC2 API操作一起使用的ARN以及每个ARN支持的条件密钥的信息,请参阅Amazon EC2 API操作的支持的资源和条件.
特别是,在撰写本文时,Amazon EC2 API操作的支持资源和条件ec2:Describe*仍然缺少所有操作,这意味着您不能使用除for之外的所有操作."Resource": ["*"]ec2:DescribeImages
针对Amazon EC2资源授予IAM用户所需权限的引用页面还提到AWS将在2014年添加对其他操作,ARN和条件密钥的支持 - 他们确实已经在过去一年左右的时间内定期扩展了资源级别权限范围,但是到目前为止,仅针对创建或修改资源的操作,而不是仅需要读访问的任何操作,许多用户希望并期望的原因,包括我自己.
| 归档时间: |
|
| 查看次数: |
4505 次 |
| 最近记录: |