То, что я пытаюсь сделать, создают Группу для внешней команды, которая требует доступа, к их CloudFormation которого находится в нашей учетной записи. Я хотел бы установить ограничения на их группу так, чтобы они могли только просмотреть и отредактировать свой собственный сайт, не просматривая остальную часть сайтов на моей учетной записи команд.
У меня есть тестовая политика, которая должна была позволить пользователю мочь просмотреть только определенный экземпляр EC2 (пример ниже), но когда я вхожу, входят в систему как ограниченная группа, у меня есть сообщение, чтения "Ошибка произошли выбирающие данные экземпляра: Вы не разрешены выполнить эту операцию".
{
"Statement":[{
"Effect":"Allow",
"Action":"ec2:*",
"Resource":arn:aws:ec2:us-east-1:NUMBERS:instance/instance-ID",
"Condition":{
"ArnEquals":{
"ec2:Owner":"arn:aws:ec2:us-east-1:NUMBERS:instance/instance-ID"
}
}
}
]
}
Существует ли способ настроить ограничения группы на определенный CloudFormations включая их экземпляры EC2, RDS и Блоки S3?
Спасибо,
К сожалению AWS Identity and Access Management (IAM) на сегодняшний день не полностью охватывает этот аспект, поскольку Resource-Level Permissions for EC2 and RDS Resources еще не доступны для всех действий API, см. д. g. эту заметку из Amazon Resource Names for Amazon EC2:
Important В настоящее время не все действия API поддерживают отдельные ARN; мы добавим поддержку дополнительных действий API и ARN для дополнительных Ресурсы Amazon EC2 позже. Для получения информации о том, какие ARN вы можете использовать с каким Amazon EC2 API действием, а также поддерживаемое условие ключи для каждой АРН, см. Вспомогательные ресурсы и условия для Amazon Действия EC2 API.
На момент написания этой статьи все действия ec2:Describe*
действительно отсутствуют в Supported Resources and Conditions for Amazon EC2 API Actions, что является причиной ошибки, с которой вы столкнулись.
В зависимости от конкретного сценария, возможно, будет проще просто создать отдельную учетную запись AWS, которая может быть интегрирована с вашей политикой IAM с помощью Кросс-счетного доступа: Совместное использование ресурсов между учетными записями AWS и биллинг с помощью Консолидированный биллинг .
.