我对 AWS 还很陌生,所以请耐心等待。
我现在有这个ecs.yaml:
...
ECSSendMessageToSQSRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Statement:
- Effect: Allow
Principal:
Service:
- ecs-tasks.amazonaws.com
Action: sts:AssumeRole
Policies:
- PolicyName: ecs-service
PolicyDocument:
Statement:
- Effect: Allow
Action:
- ssm:*
- s3:*
Resource: '*'
如您所见,该策略允许我们的角色访问所有 S3 存储桶和所有 SSM 功能。
我想以如下方式更改权限:
- S3 存储桶:如果我们拥有该存储桶,则允许所有操作。
GetParameterSSM:例如,只允许称为的某个操作。
任何关于如何解决这一问题的指导都将不胜感激。
答案1
像这样?
PolicyDocument:
Statement:
- Effect: Allow
Action:
- ssm:GetParameter
Resource: '*'
- Effect: Allow
Action:
- s3:*
Resource:
- 'arn:aws:s3:::the-bucket'
- 'arn:aws:s3:::the-bucket/*'
查看S3 增强型有关 ARN 格式的更多详细信息,请参阅文档。
希望有帮助:)