Моя цель - встроенная политика AWS по ограничению выполнения документов автоматизации на IAM, но, понимая текущие ограничения, я вижу, что могу использовать только *
подстановочный знак и не может указать конкретный документ.
Есть ли способ ограничить конкретный IAM доступ только к определенным документам автоматизации.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "test",
"Effect": "Allow",
"Action": [
"ssm:StartAutomationExecution"
],
"Resource": "*"
}
]
}
@JohnRotenstein, @HenrikPingel, я нашел способ добиться того, чего хотел: {a
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:*"
],
"Resource": [
"arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT",
"arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT",
"arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT",
"arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:*",
"arn:aws:ec2:eu-west-2:{accountnumberplaceholder}:instance/*",
"arn:aws:ssm:eu-west-2::document/AWS-RunPowerShellScript"
]
}
]
Вы можете ограничить разрешения IAM, указав ARN документа в поле ресурса. ARN для AWS Systems Manager: сконструированный следующим образом:
arn:aws:ssm:region:account-id:document/document-name
Вы можете указать полное arn документа или поставить звездочку в arn, чтобы ограничить права доступа к подмножеству документов. Как в документация:
arn:aws:ssm:us-west-2:111222333444:document:West*