使用AWS re:Post即您表示您同意 AWS re:Post 使用条款
AWS re:Postre:Post

如何配置除了ssm之外,具有完全访问策略?

0

【以下的问题经过翻译处理】 我想创建一个策略,赋予每个资源完全权限,除了ssm,因为对于ssm,我想给出一个条件。我想到了两种做法:

  1. 创建一个策略,看起来像下面这样,但需要找到所有资源的名称。
   "iam:Add*",
   "iam:Create*",
   "iam:Deactivate*",
   "iam:Delete*",
   "iam:Detach*",
   "iam:Enable*",
   "iam:PassRole",
   "iam:Put*",
   "iam:Remove*",
   "iam:Resync*",
   "iam:Set*",
   "iam:Simulate*",
   "iam:Update*",
   "iam:Put*"
    ...
  1. 通过完全权限拒绝访问 ssm,但 仅当 没有使用ssh文档时,因此我想应该像下面这样:
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor1",
            "Effect": "Deny",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Condition": {
                "BoolIfExists": {
                    "arn:aws:ssm:*:*:document/AWS-StartSSHSession": "false"
                }
            }
        }
    ]
}

但这似乎无效。

主题
安全、身份和合规性管理与治理
标签
AWS 身份和访问权限管理AWS Systems ManagerIAM 策略
语言
中文 (简体)
profile picture
专家
rePost Polyglot
已提问 5 个月前40 查看次数
1 回答
0

【以下的回答经过翻译处理】 系统管理器似乎不允许为条件键指定文档。 尝试IAM策略如何?

SessionDocumentAccessCheck可用于强制使用AWS-StartSSHSession。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "NotAction": [
                "ssm:*"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ssm:StartSession",
            "Resource": [
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ssm:*:*:document/AWS-StartSSHSession"
            ],
            "Condition": {
                "BoolIfExists": {
                    "ssm:SessionDocumentAccessCheck": "true"
                }
            }
        }
    ]    
}
profile picture
专家
rePost Polyglot
已回答 5 个月前

您未登录。 登录 发布回答。

一个好的回答可以清楚地解答问题和提供建设性反馈,并能促进提问者的职业发展。

回答问题的准则

相关内容