Question

У меня есть API-шлюз с большим количеством определенных ресурсов. Авторизация для доступа к этому API - AWS_IAM.

Я хочу создать пользователя, который может иметь разрешение на выполнение только двух конечных точек.

DELETE /a1/{id}/b1/{uid}

POST /c1/{id}

Я создал одного пользователя с разрешением ниже, но он не работает.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "execute-api:Invoke",
                "execute-api:ManageConnections"
            ],
            "Resource": [
                "arn:aws:execute-api:us-east-1:*:XXXXXXX/*/POST/c1/{id}",
                "arn:aws:execute-api:us-east-1:*:XXXXXXX/*/DELETE/a1/{id}/b1/{uid}"
            ],
            "Effect": "Allow"
        }
    ]
}

Может кто-нибудь помочь мне понять, как справляться с этими динамическими c путями ресурсов в политиках?

Umar Karimabadi · Answer 1 · 28 февраля 2020

Привет, если вы хотите поддерживать динамические c пути, замените их на *

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "execute-api:Invoke",
                "execute-api:ManageConnections"
            ],
            "Resource": [
                "arn:aws:execute-api:us-east-1:*:XXXXXXX/*/POST/c1/*",
                "arn:aws:execute-api:us-east-1:*:XXXXXXX/*/DELETE/a1/*/b1/*"
            ],
            "Effect": "Allow"
        }
    ]
}

Контроль доступа для вызова API

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Контроль доступа для вызова API

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы