1. casa
  2. Domanda e risposta
  3. Come posso limitare le autorizzazioni di descrizione delle immagini EC2?

Come posso limitare le autorizzazioni di descrizione delle immagini EC2?

2014-05-23 13 views
8

Sto provando a limitare le immagini che un gruppo IAM specifico può descrivere. Se ho la seguente politica per il mio gruppo, gli utenti del gruppo possono descrivere qualsiasi immagine EC2:Come posso limitare le autorizzazioni di descrizione delle immagini EC2?

{ 
    "Effect": "Allow", 
    "Action": ["ec2:DescribeImages"], 
    "Resource": ["*"] 
}

mi piacerebbe consentire solo il gruppo per descrivere una singola immagine, ma quando provo impostazione "Resource": ["arn:aws:ec2:eu-west-1::image/ami-c37474b7"] , ottengo le eccezioni quando si cerca di descrivere l'immagine come un membro del gruppo:

AmazonServiceException Status Code: 403, 
    AWS Service: AmazonEC2, 
    AWS Request ID: 911a5ed9-37d1-4324-8493-84fba97bf9b6, 
    AWS Error Code: UnauthorizedOperation, 
    AWS Error Message: You are not authorized to perform this operation.

ho ottenuto il formato ARN per le immagini EC2 da IAM Policies for EC2, ma forse qualcosa non va con il mio ARN? Ho verificato che la descrizione dell'immagine richiesta funzioni correttamente quando il mio valore di risorsa è "*".

fonte

2014-05-23 Josh Glover

risposta

11

Purtroppo il messaggio di errore è fuorviante, il problema è che Resource-Level Permissions for EC2 and RDS Resources non sono ancora disponibili per tutte le azioni API, vedi questa nota da Amazon Resource Names for Amazon EC2:

Importante

Attualmente, non tutti API le azioni supportano i singoli ARN; aggiungeremo successivamente il supporto per ulteriori azioni API e ARN per ulteriori risorse Amazon EC2. Per informazioni su quali ARN è possibile utilizzare con le azioni API di Amazon EC2, nonché le condizioni supportate per ogni ARN, vedere Supported Resources and Conditions for Amazon EC2 API Actions.

In particolare, tutte le azioni ec2:Describe* sono assenti ancora da Supported Resources and Conditions for Amazon EC2 API Actions al momento in cui scriviamo, il che implica che non è possibile utilizzare qualsiasi cosa, ma "Resource": ["*"] per ec2:DescribeImages.

La pagina di riferimento sul Granting IAM Users Required Permissions for Amazon EC2 Resources menziona anche che AWS sarà aggiungere il supporto per ulteriori azioni, Arns, e le chiavi di condizione nel 2014 - hanno infatti ampliato regolarmente copertura Livello di autorizzazione delle risorse nel corso dell'ultimo anno o giù di lì già, ma finora solo per le azioni che creano o modificano le risorse, ma non quelle che richiedono solo l'accesso in lettura, qualcosa che molti utenti desiderano e si aspettano per ovvi motivi, incluso me stesso.

fonte

2014-05-25 20:54:27

Problemi correlati

 Problemi correlati