Ограничить AWS SSM PutParameter параметрами в определенной иерархии

Question

Ограничить AWS SSM PutParameter параметрами в определенной иерархии

Я знаю, что могу создать разрешение на GetParameter/DeleteParameter и т. Д., Чтобы ограничить пользователя элементами ниже определенной иерархии, например:

/MyApp/dev/*

Могу ли я аналогичным образом запретить пользователю создавать параметры вне этой иерархии, и если да, то как?

1

amazon-web-services aws-ssm

Источник

user13087 17 сен '18 в 14:19

1 ответ

Решение

Другие вопросы по тегам amazon-web-services aws-ssm

user508214 17 сен '18 в 17:40 2018-09-17 17:40 · Accepted Answer · 2018-09-17 17:40

Как насчет политики ниже?

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ssm:PutParameter",
                "ssm:DeleteParameter",
                "ssm:GetParameterHistory",
                "ssm:GetParametersByPath",
                "ssm:GetParameters",
                "ssm:GetParameter",
                "ssm:DeleteParameters"
            ],
            "Resource": "arn:aws:ssm:*:*:parameter/myparam/test/*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "ssm:DescribeParameters",
                "kms:ListAliases"
            ],
            "Resource": "*"
        }
    ]
}