Question

Я разрешаю действие только из указанного диапазона IP-адресов и отказываю в доступе к остальным IP-адресам.

{
"Version": "2012-10-17",
"Statement": [{
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::510680944440:user/wu-core-dev-auto-start-stop-lambda-invoke"
    },
    "Action": "sts:AssumeRole",

    "Condition": {
        "IpAddress": {
            "aws:SourceIp": [
                "10.38.6.123/24"
            ]
        }
    }
}]

}

MC_ · Answer 1 · 16 февраля 2019

Итак, из официальных документов AWS мы знаем следующее:

Используйте элемент Principal для указания пользователя IAM, федеративного пользователя, роли IAM, учетной записи AWS, службы AWS или другого основного объектаэто разрешено или отказано в доступе к ресурсу.Вы не можете использовать элемент Principal в политике, основанной на идентификации IAM.Вы можете использовать его в политиках доверия для ролей IAM и в ресурсных политиках.Политики на основе ресурсов - это политики, которые вы встраиваете непосредственно в ресурс IAM.

Предполагая, что ответ на ваш вопрос будет простым,

Удалить блок Принципал изваша политика
Добавить "Ресурс": "arn: aws: iam :: 510680944440: пользователь / wu-core-dev-auto-start-stop-lambda-invoke"

Подробнее о принципалах -> Документы AWS

Эта политика содержит следующую ошибку: Запрещено поле Принципал

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Эта политика содержит следующую ошибку: Запрещено поле Принципал

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы