gpt4 book ai didi

amazon-web-services - AWS IAM 策略 : Multiple Actions and Multiple Resources

转载 作者:行者123 更新时间:2023-12-03 17:00:17 27 4
gpt4 key购买 nike

这是关于 AWS IAM 策略的问题,具有多个资源的多个操作(可能不相关)。我有用“mykey”加密的参数“myparam”,我有如下单独块的策略,一个用于参数,一个用于 key ,它有效。

{
{
"Action": [
"ssm:GetParameter",
],
"Effect": "Allow",
"Resource": "MY-ARN:MY-ACC:parameter/myparam"
},
{
"Action": [
"kms:Decrypt"
],
"Effect": "Allow",
"Resource": "MY-ARN:MY-ACC::key/mykey"
}
}

根据文档,我们可以组合多个操作和资源,如果我组合如下,这行得通吗?
{
{
"Action": [
"ssm:GetParameter",
"kms:Decrypt"
],

"Resource": [
"MY-ARN:MY-ACC:parameter/myparam"
"MY-ARN:MY-ACC::key/mykey"
],
"Effect": "Allow"
}

}

在这种情况下,Actions to Resource 映射是如何发生的?我找不到关于此 https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_action.html 的任何文档
如果我有相关的资源或相关的 Actiosn 那么这是有道理的,您对此有何评论?

最佳答案

If I combine the same as below, Does this work?



确实如此。

验证我 重新创建 您的方案 mykeymyparam以及添加到测试 lambda 的执行角色的内联策略。

事实上,当您使用 IAM 控制台创建此类权限时,创建的内联 json 策略将具有 第二种形式 ,不是第一个:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"kms:Decrypt",
"ssm:GetParameter"
],
"Resource": [
"arn:aws:kms:*:xxx:key/e15f691e-5dde-473c-8f24-3af45994aeaf",
"arn:aws:ssm:*:xxx:parameter/myparam"
]
}
]
}

更何况 商品顺序ActonsResources无关紧要。因此你也可以有(不同的 Action 顺序):
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ssm:GetParameter",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:*:xxx:key/e15f691e-5dde-473c-8f24-3af45994aeaf",
"arn:aws:ssm:*:xxx:parameter/myparam"
]
}
]
}

这意味着 IAM 将测试对资源的操作 仅当给定资源支持 他们。

通常首选第一种形式,因为它更易于阅读和管理。如果将所有内容都放在一个语句中,则很难对这样的语句进行命名、编辑和调试。

关于amazon-web-services - AWS IAM 策略 : Multiple Actions and Multiple Resources,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61944155/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com