Назад | Перейти на главную страницу

Встроенная политика AWS по ограничению выполнения документов автоматизации в рамках IAM

Моя цель - встроенная политика AWS по ограничению выполнения документов автоматизации на IAM, но, понимая текущие ограничения, я вижу, что могу использовать только * подстановочный знак и не может указать конкретный документ.

Есть ли способ ограничить конкретный IAM доступ только к определенным документам автоматизации.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "test",
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        }
    ]
}

@JohnRotenstein, @HenrikPingel, я нашел способ добиться того, чего хотел: {a "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:*" ], "Resource": [ "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT", "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT", "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT", "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:*", "arn:aws:ec2:eu-west-2:{accountnumberplaceholder}:instance/*", "arn:aws:ssm:eu-west-2::document/AWS-RunPowerShellScript" ] } ]

Вы можете ограничить разрешения IAM, указав ARN документа в поле ресурса. ARN для AWS Systems Manager: сконструированный следующим образом:

arn:aws:ssm:region:account-id:document/document-name

Вы можете указать полное arn документа или поставить звездочку в arn, чтобы ограничить права доступа к подмножеству документов. Как в документация:

arn:aws:ssm:us-west-2:111222333444:document:West*