aws ssm:sendcommand не работает, если я ограничиваю доступ к определенным экземплярам

Я использую политику по умолчанию Amazonssmmaintainancewindowrole. В этой политике я изменил разрешения для ssm:SendCommand, чтобы ограничить доступ к конкретным экземплярам EC2, который не работает. Если я указываю ресурс как "*" для ssm:SendCommand, он работает нормально. Пожалуйста, дайте мне знать, что я делаю неправильно в отношении ограничения доступа.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "0",
            "Effect": "Allow",
            "Action": [
                "ssm:GetAutomationExecution",
                "ssm:GetParameters",
                "ssm:ListCommands",
                "ssm:StartAutomationExecution"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "1",
            "Effect": "Allow",
            "Action": [
                "ssm:SendCommand"
            ],
            "Resource": [
                "arn:aws:ec2:eu-west-1:*:instance/myinstance-id",
                "arn:aws:s3:::bucketname",
                "arn:aws:ssm:us-east-1:*:document/AWS-ApplyPatchBaseline"
            ]
        },
        {
            "Sid": "2",
            "Effect": "Allow",
            "Action": [
                "lambda:InvokeFunction"
            ],
            "Resource": [
                "arn:aws:lambda:*:*:function:SSM*",
                "arn:aws:lambda:*:*:function:*:SSM*"
            ]
        },
        {
            "Sid": "3",
            "Effect": "Allow",
            "Action": [
                "states:DescribeExecution",
                "states:StartExecution"
            ],
            "Resource": [
                "arn:aws:states:*:*:stateMachine:SSM*",
                "arn:aws:states:*:*:execution:SSM*"
            ]
        }
    ]
}
Источник

0 ответов

Другие вопросы по тегам