Согласно с документынабор действий API, связанных с VPC (например, AssociateAddress
, CreateRoute
и т. д.) должны разрешать разрешения и условия на уровне ресурсов.
Например, если я правильно понимаю, это утверждение должно работать:
{
"Effect": "Allow",
"Action": "ec2:AssociateAddress",
"Resource": [
"arn:aws:ec2:us-east-1:<myid>:elastic-ip/eipalloc-123foobar"
]
}
Заявление выше должно позволить AssociateAddress
для эластичного IP-адреса с идентификатором распределения eipalloc-123foobar
Только.
Аналогично, это также должно работать:
{
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:Vpc": "arn:aws:ec2:<myregion>:<myaccount>:vpc/vpc-123foobar"
}
}
}
Это заявление должно позволить CreateRoute
а также ReplaceRoute
для маршрутов в VPC с ID vpc-123foobar
.
Однако ни один из них, похоже, не работает, как и многие его варианты с разными разрешениями и условиями. Все они приводят к UnauthorizedOperation
.
Любые идеи?
amazon-веб-сервисы amazon-iam
Бен Уэйли