Политика IAM для разрешений на уровне ресурсов для AWS склеенных баз данных - PullRequest
0 голосов
/ 25 февраля 2020

Я бы хотел создать политику IAM, которая ограничивает доступ только к определенным ресурсам, в частности к базам данных, в AWS Glue. Я хотел бы, чтобы политика имела стандартный доступ на чтение / запись только для определенных баз данных. Я вижу множество примеров из AWS документации, что вы можете сделать это с помощью такой политики ( source ):

{
   "Effect": "Allow",
   "Action": [
      "glue:GetDatabase", 
      "glue:CreateDatabase"
   ],
   "Resource": [
     "arn:aws:glue:us-east-1:123456789012:catalog",
     "arn:aws:glue:us-east-1:123456789012:database/default",
     "arn:aws:glue:us-east-1:123456789012:database/example_db"
   ]
}

Однако, когда я пытаюсь создать политику, как указано выше он говорит

Действия в вашей политике не поддерживают разрешения на уровне ресурсов и требуют от вас выбора Все ресурсы .

Просмотр на этой странице вы можете увидеть все действия для Glue, и очень немногие из них поддерживают разрешения на уровне ресурсов (только те, которые имеют что-то в столбце "Ресурсы"). Действия, которые они используют в качестве примеров в своей документации, не допускают разрешений на уровне ресурсов, и я не смог бы создать разумную политику IAM для разработчика с очень немногими действиями, которые разрешают разрешения на уровне ресурсов.

Есть ли способ создать политику, которую я хотел бы создать?

...