Подстановочный знак '*' в ресурсе для политик AWS

Question

У меня есть AWS KMS Key Policy, состоящая из следующего утверждения:

{
          "Sid": "Enable IAM User Permissions",
          "Effect": "Allow",
          "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
          "Action": "kms:*",
          "Resource": "*"
}

Я понимаю, что данный пользователь root IAM для указанного номера учетной записи может выполнять все операции kms: . Что означает * для ресурса? Должен ли это быть арн ключа? В общем, что означает «Ресурс»: «*» в любой политике Ресурса?

Answer 1

Имея это в любой политике (будь то политика ресурсов, такая как политика корзины или политика ключа, или если это политика IAM), она будет применяться ко всем ресурсам, которые могут быть включены в политику (IAM применяется ко всему, политика ключа может применяться только к ключу, к которому эта политика прикреплена).

* дает доступ ко всему объему этих ресурсов, в случае ключевой политики, который является просто этим ключом, вы также можете add укажите Arn для точно такого же эффекта для ключа.

В других политиках ресурсов, таких как политики корзины S3, вы фактически можете сделать это на основе префикса S3, чтобы ограничить объем того, к чему пользователь может получить доступ, например arn:aws:s3:::my-bucket/public/*