Действия IAM elasticmapreduce: ListInstances и elasticmapreduce: ModifyInstanceGroups оба требуют cluster* ARN ресурсов, которые выглядят следующим образом:
arn:${Partition}:elasticmapreduce:${Region}:${Account}:cluster/${ClusterId}
Обеспечение ARN ресурса шаблон, подобный приведенному ниже, не будет соответствовать поддерживаемым ресурсам и НЕ будет разрешать автоматическое масштабирование для вызова этих API-интерфейсов Elasti c MapReduce на ваших ресурсах:
arn:aws:elasticmapreduce:*:*:kj*
Следующий cluster* ARN ресурса, надеюсь, будет работать:
arn:aws:elasticmapreduce:*:*:cluster/kj*
Действие IAM cloudwatch: DescribeAlarms требует alarm* ARN ресурса, который выглядит следующим образом:
arn:${Partition}:cloudwatch:${Region}:${Account}:alarm:${AlarmName}
Предоставление шаблона ARN ресурса, подобного следующему, не будет соответствовать поддерживаемых ресурсов и НЕ будет разрешать автоматическое масштабирование для вызова этого CloudWatch API на ваших ресурсах:
arn:aws:cloudwatch:*:*:kj*
Следующий alarm* ARN ресурса, надеюсь, будет работать:
arn:aws:cloudwatch:*:*:alarm:kj*
Следующие ARN ресурса указаны, но их действия не совпадают (безобидно, но сбивает с толку):
"arn:aws:ec2:*:*:kj*",
"arn:aws:events:*:*:kj*",
"arn:aws:dynamodb:*:*:table/kj*",
I высоко r Рекомендуем ограничить учетную запись в ARN. Это, вероятно, самое важное ограничение, поскольку любая другая учетная запись может создавать ресурсы, начиная с kj .
Подробнее о действиях, ресурсах и ключах условий для Amazon Elasti c MapReduce здесь:
https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonelasticmapreduce.html
Подробнее о действиях, ресурсах и ключах условий для Amazon CloudWatch можно узнать здесь:
https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazoncloudwatch.html#amazoncloudwatch -тревога