Политика IAM для предоставления пользователю разрешения на создание роли aws-ec2-spot-fleet-tagging

Question

Политика IAM для предоставления пользователю разрешения на создание роли aws-ec2-spot-fleet-tagging

aws-ec2-spot-fleet-tagging-role это роль, которая должна присутствовать в вашем аккаунте, если вы хотите запросить спотовый флот. Конфиг для роли выглядит следующим образом:

{
  "Name": "aws-ec2-spot-fleet-tagging-role",
  "ManagedPolicies": [
    "arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole"
  ],
  "TrustPolicy": {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Principal": {
          "Service": [
            "spotfleet.amazonaws.com"
          ]
        },
        "Action": [
          "sts:AssumeRole"
        ]
      }
    ]
  }
}

Я использую роль для предоставления спотфлота в моем аккаунте. Как я могу дать достаточное разрешение на мою роль, чтобы, если aws-ec2-spot-fleet-tagging-role не существует, роль будет создана самостоятельно?

Я создал следующую политику, и идея состоит в том, чтобы прикрепить эту политику к моей роли:

"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::MYAWSACCOUNTNUMBER:role/aws-ec2-spot-fleet-tagging-role",
"Condition": {
   "StringLike": {
      "iam:AWSServiceName": "spotfleet.amazonaws.com",
      "iam:PolicyARN": "arn:aws:iam::aws:policy/service-role/AmazonEC2SpotFleetTaggingRole"
    }
}

Я знаю, что что-то не так с условием элемента моей политики. Просто я не мог этого понять. Если я войду через свои учетные данные администратора и как только я нажму на Request SpotFleet кнопка, aws-ec2-spot-fleet-tagging-role создается автоматически.

0

amazon-web-services amazon-ec2 aws-sdk aws-iam aws-iam-roles

Источник

user6621961 21 янв '19 в 05:48

0 ответов

Другие вопросы по тегам amazon-web-services amazon-ec2 aws-sdk aws-iam aws-iam-roles