Ich versuche die Bilder zu beschränken, die eine bestimmte IAM-Gruppe beschreiben kann. Wenn ich die folgende Richtlinie für meine Gruppe habe, können Benutzer in der Gruppe jedes EC2-Bild beschreiben:
%Vor% Ich möchte der Gruppe nur erlauben, ein einzelnes Bild zu beschreiben, aber wenn ich versuche, "Resource": ["arn:aws:ec2:eu-west-1::image/ami-c37474b7"] zu setzen, erhalte ich Ausnahmen, wenn ich versuche, das Bild als Mitglied der Gruppe zu beschreiben:
Ich habe das ARN-Format für EC2-Bilder von IAM-Richtlinien erhalten für EC2 , aber vielleicht stimmt etwas mit meinem ARN nicht? Ich habe überprüft, dass die Anforderung zum Beschreiben eines Bildes einwandfrei funktioniert, wenn mein Ressourcenwert "*" ist.
Leider ist die Fehlermeldung irreführend, das Problem ist, dass Ressourcenberechtigungen für EC2- und RDS-Ressourcen sind noch nicht für alle API-Aktionen verfügbar, siehe diese Anmerkung von Amazon-Ressourcennamen für Amazon EC2 :
Wichtig
Derzeit unterstützen nicht alle API-Aktionen einzelne ARNs. Wir werden später weitere API-Aktionen und ARNs für zusätzliche Amazon EC2-Ressourcen hinzufügen. Für Informationen darüber, welche ARNs Sie können Verwenden Sie mit welchen Amazon EC2-API-Aktionen sowie unterstützten Bedingungen Schlüssel für jeden ARN finden Sie unter Unterstützte Ressourcen und Bedingungen für Amazon EC2-API-Aktionen .
Insbesondere sind alle Aktionen ec2:Describe* immer noch nicht vorhanden von Unterstützte Ressourcen und Bedingungen für Amazon EC2-API-Aktionen zum Zeitpunkt der Erstellung dieses Artikels. Dies bedeutet, dass Sie nur "Resource": ["*"] für ec2:DescribeImages verwenden können.
Die referenzierte Seite auf Erteilen von IAM-Benutzern erforderliche Berechtigungen für Amazon EC2-Ressourcen erwähnt auch, dass AWS <2014> Unterstützung für zusätzliche Aktionen, ARNs und Bedingungsschlüssel hinzufügen wird - sie haben in der Tat die Ressourcenebenenerlaubnisabdeckung in den letzten Jahren bereits erweitert, aber bisher nur für Aktionen, die Ressourcen erstellen oder ändern, aber keine, die Lesezugriff erfordern, was viele Benutzer wünschen und erwarten, aus offensichtlichen Gründen, einschließlich mir selbst.
Tags und Links amazon-web-services amazon-ec2 amazon-iam