Я пытаюсь настроить политику IAM, которая позволит экспортировать конфигурацию клиента из клиентской конечной точки VPN:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:ExportClientVpnClientConfiguration"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789123:cvpn-endpoint/cvpn-endpoint-0123456789abcdef0"
],
"Effect": "Allow"
}
]
}
Но при попытке сделать это появляется Несанкционированная ошибка:
import boto3
ec2_client = boto3.client('ec2')
response = ec2_client.export_client_vpn_client_configuration(ClientVpnEndpointId='cvpn-endpoint-0123456789abcdef0')
с этими учетными данными. Изменение ресурса ARN на * позволяет выполнить операцию, поэтому я пришел к выводу, что неправильно структурирую ARN. Но я не могу на всю жизнь найти правильную структуру ARN: она не возвращается в ответе describe-client-vpn-endpoints, и я не могу найти ее нигде в веб-консоли или документации. Может ли кто-нибудь объяснить мне, какова правильная структура ARN для конечных точек VPN-клиентов?