Я хотел бы знать, могу ли я иметь только одну политику, прикрепленную ко многим ролям IAM, где политика заменяет теги сегментов на основе ключа и значения роли IAM. Например, у меня есть две роли IAM со следующим ключом: значение:
IAM роль 1:
сегментов: ["arn: aws: s3 ::: mybucket-dev", "arn: aws: s3 ::: mybucket-prod"]
bucketsPath: [ "ARN: AWS: s3 ::: mybucket-DEV / корень / *",
"ARN: AWS: s3 ::: mybucket-прод / пользователь / *"]
IAM роль 2:
сегменты: ["arn: aws: s3 ::: mybucket-pre", "arn: aws: s3 ::: otherbucket-dev"]
bucketsPath: [ "ARN: AWS: s3 ::: mybucket предусилителя / корень / *",
"ARN: AWS: s3 ::: otherbucket-DEV / пользователь / *"]
Мой первый вопрос: могу ли я иметь список в значении?
Я представляю политику примерно так:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": "aws:TagsKeys/buckets"
},
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetObject",
"s3:DeleteObject",
"s3:PutObjectAcl"
],
"Resource": "aws:TagsKeys/bucketsPaths",
"Condition": {
"StringLike": {
"aws:RequestTag/jobposition": [
"dataengineer",
"admin"
]
}
}
}
]
}
Моя цель - создать роли IAM на основе групп Active Directory, которые определяют конкретные сегменты и разрешения путей в S3. Я хотел бы создать роли IAM на основе тегов, используя несколько политик. Предыдущее объяснение Это был мой способ объяснить мою проблему, я уже знаю, что это не возможное решение, поэтому я хочу альтернативы.