我找不到限制此权限的有效方法。理想情况下,我希望限制在特定 VPC 和/或子网中工作的权限。我不确定在文档中的哪里查看并且尝试了多种方法但都失败了。
我的JSON大致是这样的并且在资源和条件字段中尝试了很多东西:
{
"Effect": "Allow",
"Action": [
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface"
],
"Resource": [
"*"
],
"Condition": {
"StringLike": {
"ec2:XXXXX": "*"
}
}
}
}
编辑:我错过了关键细节,我正在使用具有这些权限的角色来附加到 AWS Glue 作业。当我以正常方式限制时,作业失败并说它没有所需的权限。
根据 Amazon EC2 的操作、资源和条件键 - 服务授权参考,
CreateNetworkInterface
操作允许 ec2:Vpc
条件“通过 VPC 的 ARN 筛选访问”。
Amazon VPC 策略示例 - Amazon Virtual Private Cloud 上有一个示例策略,以这种方式使用它:
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:region:account-id:vpc/vpc-id"
}
}