我创建了一个“编程访问”用户,该用户对 Elastic Beanstalk 具有完全读取和列出权限,该权限由我专门创建的策略提供。这意味着当我转到“策略摘要”页面时,我会看到:- 服务:Elastic Beanstalk - 访问级别:完全:列表、读取 - 资源:所有资源 - 请求条件:无
该describe-environments命令运行良好:aws elasticbeanstalk describe-environments。
但是,describe-configuration-settings失败了。下面是我运行它的方式:aws elasticbeanstalk describe-configuration-settings --application-name my-app-name --environment-name my-app-name-uat。
使用 Java SDK 时发生了同样的错误,但正如预期的那样,上述命令具有类似的行为。
另外需要注意的是,该命令aws sts get-caller-identity返回了正确的用户,因此我确信我使用的是我期望的凭据。
有人知道我是否缺少任何其他权限,或者是否有任何关于如何继续调查的提示?我想尽可能地限制该用户的权限。
提前致谢。
答案1
虽然我不知道这个特定操作需要什么权限,但 CloudTrail(或一些类似名称)日志可用于帐户中完成的所有 API 操作。查看这些日志将告诉您确切进行了哪些调用,然后您就可以确定需要授予哪些额外权限才能使您的操作正常运行。
对于所有 AWS 服务来说,这个过程都非常有效,我已经放弃尝试从文档中推断权限;现在我通常只是创建一个没有权限的新用户/密钥对,然后在出现故障时逐步添加权限。
答案2
您可能需要 S3 存储桶的权限。
{
"Action": [
"s3:*"
],
"Resource": "arn:aws:s3:::elasticbeanstalk-*",
"Effect": "Allow"
}