Встроенная политика AWS для ограничения выполнения документов автоматизации по IAM

Моя цель - встроенная политика AWS по ограничению выполнения документов автоматизации по IAM, но, понимая текущие ограничения, я вижу, что могу использовать только * подстановочный знак и не может указать конкретный документ.

Есть ли способ ограничить определенный IAM, чтобы иметь доступ только к определенным документам автоматизации.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "test",
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        }
    ]
}
Источник

1 ответ

Вы можете ограничить разрешения IAM, указав ARN документа в поле ресурса. ARN для AWS Systems Manager строится следующим образом:

arn:aws:ssm:region:account-id:document/document-name

Вы можете указать полный арн документа или поместить звездочку в арн, чтобы ограничить разрешение подмножеством документов. Как в документации:

arn:aws:ssm:us-west-2:111222333444:document:West*
Источник

@JohnRotenstein, @HenrikPingel, я нашел способ достичь того, с чем хотел: {a "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:*" ], "Resource": [ "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT", "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT", "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:automation-definition/{documentnameplaceholder}:$DEFAULT", "arn:aws:ssm:eu-west-2:{accountnumberplaceholder}:*", "arn:aws:ec2:eu-west-2:{accountnumberplaceholder}:instance/*", "arn:aws:ssm:eu-west-2::document/AWS-RunPowerShellScript" ] } ]

Источник
Другие вопросы по тегам