AWS IAM - Können Sie die Verwendung mehrerer wildcards (*) in einem Wert
In alle IAM-Richtlinie Beispiele, die Sie erwähnen, mit wildcards (*
) als Platzhalter für "Zeug". Aber die Beispiele verwende Sie immer am Ende, und/oder demonstrieren nur mit einer wildcard (z.B. alles in Ordner "xyz" mit .../xyz/*
).
Kann ich nicht finden, irgendetwas definitives über die Verwendung mehrerer wildcards, zum Beispiel, um mit etwas in Unterordnern auf mehreren buckets:
arn:aws:s3:::mynamespace-property*/logs/*
zu erlauben, etwas zu sehen log
Dateien über eine "Produktion" (mynamespace-property-prod
) und "sandbox" (mynamespace-property-sand
) Eimer.
- Ich kann bestätigen, dass eine IAM-Richtlinie Ressource in form von
arn:aws:cloudformation:*:123456789012:stack/Foo/*
funktioniert. Diese enthält mehrere Platzhalter, von denen noch nicht am Ende des ARN.
Du musst angemeldet sein, um einen Kommentar abzugeben.
Nicht sicher, aber "plötzlich" (du weißt, was ich Rede) funktioniert es in der Politik simulator mit:
Wo "Politik 2" ist:
Wie nebenbei, bewusst sein, dass
arn:aws:s3:::mynamespace-property*/${aws:username}/*
(keine explizite Unterordner) wird die übereinstimmung sowohl mit als auch ohne "einzugreifen" Unterordner:arn:aws:s3:::mynamespace-property-suffix/subfolder/theuser/files..."
arn:aws:s3:::mynamespace-property-suffix/theuser/files..."
Ja, Es wird funktionieren
Aus der Dokumentation:
Bin ich dabei zu sagen "Sie haben mehrere" ist ein Tippfehler in der doc und Sie bedeuten "kann".
...a wildcard cannot span segments.
- wäre das nicht die generischeResource: "*"
(was, von dem was ich verstehe, ist gültig), nicht im Einklang mit dieser Aussage?Resource: "*"
als alternative zur Angabe eines ARN, so ARN-wildcard-Dokumentation nicht gelten.