AWS IAM - Können Sie die Verwendung mehrerer wildcards (*) in einem Wert

In alle IAM-Richtlinie Beispiele, die Sie erwähnen, mit wildcards (*) als Platzhalter für "Zeug". Aber die Beispiele verwende Sie immer am Ende, und/oder demonstrieren nur mit einer wildcard (z.B. alles in Ordner "xyz" mit .../xyz/*).

Kann ich nicht finden, irgendetwas definitives über die Verwendung mehrerer wildcards, zum Beispiel, um mit etwas in Unterordnern auf mehreren buckets:

arn:aws:s3:::mynamespace-property*/logs/*

zu erlauben, etwas zu sehen log Dateien über eine "Produktion" (mynamespace-property-prod) und "sandbox" (mynamespace-property-sand) Eimer.

Ich kann bestätigen, dass eine IAM-Richtlinie Ressource in form von arn:aws:cloudformation:*:123456789012:stack/Foo/* funktioniert. Diese enthält mehrere Platzhalter, von denen noch nicht am Ende des ARN.

InformationsquelleAutor drzaus | 2014-03-21

14

Nicht sicher, aber "plötzlich" (du weißt, was ich Rede) funktioniert es in der Politik simulator mit:
- Richtlinie 1: "zulassen von bestimmten S3-Berechtigungen auf jedem Eimer" (z.B. eine editor-Rolle)
- Richtlinie 2: "deny-all-S3-Aktionen, es sei denn, in den Ordner eines Benutzers, der über den Eimern" (D. H. nur Ihre Dateien)
Wo "Politik 2" ist:
```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExplicitlyDenyAnythingExceptOwnNamedFolder",
            "Action": [
                "s3:*"
            ],
            "Effect": "Deny",
            "NotResource": [
                "arn:aws:s3:::mynamespace-property*/subfolder/${aws:username}/*"
            ]
        }
    ]
}
```
Wie nebenbei, bewusst sein, dass arn:aws:s3:::mynamespace-property*/${aws:username}/* (keine explizite Unterordner) wird die übereinstimmung sowohl mit als auch ohne "einzugreifen" Unterordner:
- arn:aws:s3:::mynamespace-property-suffix/subfolder/theuser/files..."
- arn:aws:s3:::mynamespace-property-suffix/theuser/files..."
InformationsquelleAutor drzaus
4

Ja, Es wird funktionieren

Aus der Dokumentation:

Können Sie Platzhalter verwenden, die als Teil der Ressource ARN. Sie können
wildcard-Zeichen (* und ?) innerhalb jeder ARN-segment (die Teile
durch Doppelpunkte getrennt). Ein Sternchen (*) steht für eine beliebige Kombination von
Zeichen und ein Fragezeichen (?) steht für ein beliebiges Zeichen.
Sie können mehrere * oder ? Zeichen in jedem segment, aber ein
wildcard nicht über Segmente.

Bin ich dabei zu sagen "Sie haben mehrere" ist ein Tippfehler in der doc und Sie bedeuten "kann".
- Es ist interessant, die Dokumentation gibt ...a wildcard cannot span segments. - wäre das nicht die generische Resource: "*" (was, von dem was ich verstehe, ist gültig), nicht im Einklang mit dieser Aussage?
- Sie bringen einen guten Punkt. Persönlich interpretiere ich das Resource: "*" als alternative zur Angabe eines ARN, so ARN-wildcard-Dokumentation nicht gelten.
InformationsquelleAutor destroy-everything

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.