Question

У меня есть роль iam, у которой есть доступ к запуску автоматизации. Я хочу ограничить доступ к документам с помощью тегов.

Я добавил эту политику, но она не работает.

    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ssm:StartAutomationExecution"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": "ssm:StartAutomationExecution",
            "Resource": [
                "arn:aws:ssm:*:*:document/*",
                "arn:aws:ssm:*:*:automation-definition/*:$DEFAULT"
            ],
            "Condition": {
                "StringNotEquals": {
                    "ssm:resourceTag/Role": "${aws:PrincipalTag/Role}"
                }
            }
        }
    ]
}```

Benoît Sauvère · Answer 1 · 26 апреля 2020

Это условие не поддерживается для операции StartAutomationExecution.

См. https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssystemsmanager.html

Как ограничить доступ к ssm документам по роли iam для автоматизации запуска с использованием тегов?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как ограничить доступ к ssm документам по роли iam для автоматизации запуска с использованием тегов?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы