Как добавить ОПРЕДЕЛЕННЫЙ CloudFormation, EC2, RDS и Ограничения доступа S3 в AWS - я
То, что я пытаюсь сделать, создают Группу для внешней команды, которая требует доступа, к их CloudFormation которого находится в нашей учетной записи. Я хотел бы установить ограничения на их группу так, чтобы они могли только просмотреть и отредактировать свой собственный сайт, не просматривая остальную часть сайтов на моей учетной записи команд.
У меня есть тестовая политика, которая должна была позволить пользователю мочь просмотреть только определенный экземпляр EC2 (пример ниже), но когда я вхожу, входят в систему как ограниченная группа, у меня есть сообщение, чтения "Ошибка произошли выбирающие данные экземпляра: Вы не разрешены выполнить эту операцию".
{
"Statement":[{
"Effect":"Allow",
"Action":"ec2:*",
"Resource":arn:aws:ec2:us-east-1:NUMBERS:instance/instance-ID",
"Condition":{
"ArnEquals":{
"ec2:Owner":"arn:aws:ec2:us-east-1:NUMBERS:instance/instance-ID"
}
}
}
]
}
Существует ли способ настроить ограничения группы на определенный CloudFormations включая их экземпляры EC2, RDS и Блоки S3?
Спасибо,
К сожалению AWS Identity and Access Management (IAM) на сегодняшний день не полностью охватывает этот аспект, поскольку Resource-Level Permissions for EC2 and RDS Resources еще не доступны для всех действий API, см. д. g. эту заметку из Amazon Resource Names for Amazon EC2:
Important В настоящее время не все действия API поддерживают отдельные ARN; мы добавим поддержку дополнительных действий API и ARN для дополнительных Ресурсы Amazon EC2 позже. Для получения информации о том, какие ARN вы можете использовать с каким Amazon EC2 API действием, а также поддерживаемое условие ключи для каждой АРН, см. Вспомогательные ресурсы и условия для Amazon Действия EC2 API.
На момент написания этой статьи все действия ec2:Describe* действительно отсутствуют в Supported Resources and Conditions for Amazon EC2 API Actions, что является причиной ошибки, с которой вы столкнулись.
- Смотрите мой первоначальный ответ на Как ограничить пользователя до определенного тома экземпляра в AWS, используя политику IAM, например, как разделить вашу политику IAM в отношении тех частей, которые делают и не поддерживают разрешения на уровне ресурсов, чтобы избежать этой ошибки как таковой (очевидно, что это не помешает пользователям увидеть всю вашу учетную запись). См. также Предоставление пользователям IAM необходимых разрешений на ресурсы Amazon EC2 для получения краткого обзора вышеизложенного и подробной информации о ключах условий ARN и Amazon EC2, которые можно использовать в заявлении о политике IAM для предоставления пользователям разрешений на создание или изменение определенных ресурсов Amazon EC2 - на этой странице также упоминается, что AWS добавит поддержку дополнительных действий, ARN и ключей условий в 2014 году .
Альтернатива/обход
В зависимости от конкретного сценария, возможно, будет проще просто создать отдельную учетную запись AWS, которая может быть интегрирована с вашей политикой IAM с помощью Кросс-счетного доступа: Совместное использование ресурсов между учетными записями AWS и биллинг с помощью Консолидированный биллинг .
.