Согласно с документынабор действий API, связанных с VPC (например, AssociateAddress, CreateRouteи т. д.) должны разрешать разрешения и условия на уровне ресурсов.
Например, если я правильно понимаю, это утверждение должно работать:
{
"Effect": "Allow",
"Action": "ec2:AssociateAddress",
"Resource": [
"arn:aws:ec2:us-east-1:<myid>:elastic-ip/eipalloc-123foobar"
]
}
Заявление выше должно позволить AssociateAddress для эластичного IP-адреса с идентификатором распределения eipalloc-123foobar Только.
Аналогично, это также должно работать:
{
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:Vpc": "arn:aws:ec2:<myregion>:<myaccount>:vpc/vpc-123foobar"
}
}
}
Это заявление должно позволить CreateRoute а также ReplaceRoute для маршрутов в VPC с ID vpc-123foobar.
Однако ни один из них, похоже, не работает, как и многие его варианты с разными разрешениями и условиями. Все они приводят к UnauthorizedOperation.
Любые идеи?
amazon-веб-сервисы amazon-iam
Бен Уэйли