Назад | Перейти на главную страницу

Политика AWS ECS: блокировка разрешений для сервисов в зависимости от владельца

Я новичок в AWS, так что терпите меня.

У меня сейчас есть это ecs.yaml:

...
ECSSendMessageToSQSRole:
  Type: AWS::IAM::Role
  Properties:
    AssumeRolePolicyDocument:
      Statement:
      - Effect: Allow
        Principal:
          Service:
            - ecs-tasks.amazonaws.com
        Action: sts:AssumeRole
    Policies:
      - PolicyName: ecs-service
        PolicyDocument:
          Statement:
            - Effect: Allow
              Action:
                - ssm:*
                - s3:*
              Resource: '*'

Как видите, Политика позволяет нашей роли получать доступ ко ВСЕМ корзинам S3 и ВСЕМ функциям SSM.

Я хотел бы изменить разрешения таким образом, чтобы:

Любая ориентация на то, как решить эту проблему, будет принята с благодарностью.

Как это?

    PolicyDocument:
      Statement:
        - Effect: Allow
          Action:
            - ssm:GetParameter
          Resource: '*'
        - Effect: Allow
          Action:
            - s3:*
          Resource: 
            - 'arn:aws:s3:::the-bucket'
            - 'arn:aws:s3:::the-bucket/*'

Проверьте S3 ARN docs для получения более подробной информации о формате ARN.

Надеюсь, это поможет :)