Я новичок в AWS, так что терпите меня.
У меня сейчас есть это ecs.yaml
:
...
ECSSendMessageToSQSRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Statement:
- Effect: Allow
Principal:
Service:
- ecs-tasks.amazonaws.com
Action: sts:AssumeRole
Policies:
- PolicyName: ecs-service
PolicyDocument:
Statement:
- Effect: Allow
Action:
- ssm:*
- s3:*
Resource: '*'
Как видите, Политика позволяет нашей роли получать доступ ко ВСЕМ корзинам S3 и ВСЕМ функциям SSM.
Я хотел бы изменить разрешения таким образом, чтобы:
GetParameter
, например.Любая ориентация на то, как решить эту проблему, будет принята с благодарностью.
Как это?
PolicyDocument:
Statement:
- Effect: Allow
Action:
- ssm:GetParameter
Resource: '*'
- Effect: Allow
Action:
- s3:*
Resource:
- 'arn:aws:s3:::the-bucket'
- 'arn:aws:s3:::the-bucket/*'
Проверьте S3 ARN docs для получения более подробной информации о формате ARN.
Надеюсь, это поможет :)