Политика AWS для ограничения создания всех ресурсов в одном регионе и только для чтения в других регионах - PullRequest
Новая
       13

Политика AWS для ограничения создания всех ресурсов в одном регионе и только для чтения в других регионах

0 голосов
/ 19 сентября 2019

Я пытаюсь создать политику в AWS для ограничения пользователей одним регионом для создания ресурса, а в других регионах они должны иметь доступ только для чтения.Я могу ограничить их одним регионом, используя нижеприведенную политику.Но теперь возникла сложность предоставить пользователям доступ только для чтения ко всем местоположениям.

Я новичок в политиках AWS и борюсь с этим.

Текущая политика, которую я использую для ограничения их одним местоположением

{
    "Version": "2012-10-17",  
    "Statement": [
        {
            "Effect": "Deny",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringNotEquals": {
                    "aws:RequestedRegion": [
                        "eu-east-2"
                    ]
                }
            }
        }
    ]
}

Кто-нибудь может пролить свет на это.

1 Ответ

1 голос
/ 19 сентября 2019

Вы не сможете сделать это, используя политику запрета.Причина в том, что управление доступом AWS сначала ищет любую политику запрета.

Самый простой способ сделать это заключается в следующем:

  1. Предоставьте пользователю или роли глобальный доступ только для чтения, подключивполитика AWS ReadOnlyAccess.
  2. Затем измените свою политику, чтобы предоставить полный доступ к нужному региону. 
{
    "Version": "2012-10-17",  
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:RequestedRegion": [
                        "eu-east-2"
                    ]
                }
            }
        }
    ]
}

Несколько замечаний

  1. Политика в основном дает права администратора уровня.Если вы хотите предоставить меньший доступ, используйте одну из управляемых политик AWS в качестве ссылки и используйте условие Region для всех операторов.
  2. Для некоторых глобальных действий этот регион - us-east-1.Читайте об этом в разделе aws: RequestedRegion в Условия политики ссылок IAM Возможно, вам понадобится добавить пару дополнительных действий в вашу политику, чтобы все работало правильно.
...