Sto provando a limitare le immagini che un gruppo IAM specifico può descrivere. Se ho la seguente politica per il mio gruppo, gli utenti del gruppo possono descrivere qualsiasi immagine EC2:Come posso limitare le autorizzazioni di descrizione delle immagini EC2?
{
"Effect": "Allow",
"Action": ["ec2:DescribeImages"],
"Resource": ["*"]
}
mi piacerebbe consentire solo il gruppo per descrivere una singola immagine, ma quando provo impostazione "Resource": ["arn:aws:ec2:eu-west-1::image/ami-c37474b7"]
, ottengo le eccezioni quando si cerca di descrivere l'immagine come un membro del gruppo:
AmazonServiceException Status Code: 403,
AWS Service: AmazonEC2,
AWS Request ID: 911a5ed9-37d1-4324-8493-84fba97bf9b6,
AWS Error Code: UnauthorizedOperation,
AWS Error Message: You are not authorized to perform this operation.
ho ottenuto il formato ARN per le immagini EC2 da IAM Policies for EC2, ma forse qualcosa non va con il mio ARN? Ho verificato che la descrizione dell'immagine richiesta funzioni correttamente quando il mio valore di risorsa è "*"
.