Встроенная политика AWS по ограничению выполнения документов автоматизации для каждого IAM - это моя цель, но, понимая текущие ограничения, я вижу, что могу использовать только подстановочный знак *
и не могу указать конкретный документ.
Есть ли способ ограничить конкретный IAM доступ только к определенным документам автоматизации.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "test",
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
@JohnRotenstein, @HenrikPingel, я нашел способ добиться того, чего хотел: {a
«Версия»: «2012-10-17»,
"Утверждение": [
{
«Эффект»: «Разрешить»,
«Действие»: [
"ssm: *"
],
«Ресурс»: [
"arn: aws: ssm: eu-west-2: {accountnumberplaceholder}: automation-definition / {documentnameplaceholder}: $ DEFAULT",
"arn: aws: ssm: eu-west-2: {accountnumberplaceholder}: automation-definition / {documentnameplaceholder}: $ DEFAULT",
"arn: aws: ssm: eu-west-2: {accountnumberplaceholder}: automation-definition / {documentnameplaceholder}: $ DEFAULT",
"arn: aws: ssm: eu-west-2: {accountnumberplaceholder}: *",
"arn: aws: ec2: eu-west-2: {accountnumberplaceholder}: instance / *",
"arn: aws: ssm: eu-west-2 :: document / AWS-RunPowerShellScript"
]
}
]
Вы можете ограничить разрешения IAM, указав ARN документа в поле ресурса. ARN для AWS Systems Manager построен следующим образом:
arn:aws:ssm:region:account-id:document/document-name
Вы можете указать полное arn документа или поместить звездочку в arn, чтобы ограничить права доступа к подмножеству документов. Как в документации :
arn:aws:ssm:us-west-2:111222333444:document:West*