Невозможно использовать разрешения и условия на уровне ресурсов с некоторыми действиями API EC2.

Согласно с документынабор действий API, связанных с VPC (например, AssociateAddress, CreateRouteи т. д.) должны разрешать разрешения и условия на уровне ресурсов.

Например, если я правильно понимаю, это утверждение должно работать:

        {
            "Effect": "Allow",
            "Action": "ec2:AssociateAddress",
            "Resource": [
                "arn:aws:ec2:us-east-1:<myid>:elastic-ip/eipalloc-123foobar"
            ]
        }

Заявление выше должно позволить AssociateAddress для эластичного IP-адреса с идентификатором распределения eipalloc-123foobar Только.

Аналогично, это также должно работать:

        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:Vpc": "arn:aws:ec2:<myregion>:<myaccount>:vpc/vpc-123foobar"
                }
            }
        }

Это заявление должно позволить CreateRoute а также ReplaceRoute для маршрутов в VPC с ID vpc-123foobar.

Однако ни один из них, похоже, не работает, как и многие его варианты с разными разрешениями и условиями. Все они приводят к UnauthorizedOperation.

Любые идеи?

amazon-веб-сервисы amazon-iam

Бен Уэйли

0

Добавить комментарий

Ваш адрес email не будет опубликован.