Политика IAM, разрешающая публикацию SMS, но не запрещающая все SNS - PullRequest
Новая
       10

Политика IAM, разрешающая публикацию SMS, но не запрещающая все SNS

0 голосов
/ 28 июня 2018

Я хочу настроить политики IAM, чтобы позволить пользователю публиковать в SNS, отправлять SMS и публиковать в определенном арн. SNS.

Я нашел способ разрешить публикацию SMS без публикации SNS: Авторизация при отправке текстового сообщения с помощью AmazonSNSClient 

{

    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:*:*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "*"
        }
    ]
}

Но эта политика явно запрещает все другие публикации SNS, поэтому я не могу добавить политику, разрешающую определенный SNS.

Проблема в том, что публикация SMS не имеет определенного арн.

Поэтому я смотрю на условия, чтобы найти способ ограничить разрешение на публикацию только SMS. Но конкретные параметры SMS (PhoneNumber cf https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/SNS.html#publish-property) не могут быть отфильтрованы при условии: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "sns:Publish",
            "Resource": "*",
            "Condition": {"Null":{"PhoneNumber":"false"}}
        }
    ]
}

error message

Есть ли способ выполнить такую ​​политику?

1 Ответ

0 голосов
/ 28 июня 2018

Я бы специально разрешил тему SNS, которую вы тоже хотите опубликовать, и полагался на запрет по умолчанию.

Есть SNS Темы и Подписчики .

Вы хотите предоставить пользователям AWS разрешения на публикацию в теме, на которую пользователи (подписчики) подписаны с помощью своих SMS.

https://docs.aws.amazon.com/sns/latest/dg/SNSMobilePush.html

Публикация Отправляет сообщение в тему Amazon SNS ИЛИ отправляет текстовое сообщение (SMS-сообщение) прямо на номер телефона.

В темах SNS есть ARN 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "sns:Publish"
            ],
            "Resource": "arn:aws:sns:us-west-2:111122223333:SMS_TOPIC"
        }
    ]
}

Политика приводит к отклонению , если политика напрямую не применяется к запросу.

явный запретить переопределения любой позволяет.

https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html

Determining Whether a Request is Allowed or Denied

...