Подстановочный знак политики AWS IAM и ограниченный доступ

Привет, у меня есть политика IAM со следующим фрагментом с заявлением следующим образом: -

...
{
         "Effect"   : "Allow",
         "Action"   : "dynamodb:*",
         "Resource" : [
                       "arn:aws:dynamodb:*:*:table/sampletable",
                       "arn:aws:dynamodb:*:*:table/*",
                       "arn:aws:dynamodb:*:*:table/*/stream/*"
                       ]
         }
..

Что происходит в этом случае, когда есть ограниченная таблица/образец и подстановочный знак?

Я не мог получить ответ на этот вопрос в документации.


amazon-web-services aws-iam
person RajDev    schedule 06.02.2018    source источник

Ответы (1)


arrow_upward
0
arrow_downward

В этом случае

"arn:aws:dynamodb:*:*:table/*",

Спецификация ресурса будет учитываться, поскольку она имеет более широкий охват, эффективно «переопределяя» другую, поэтому table/* также будет соответствовать ресурсу table/sampletable.

Я не уверен, почему вы называете этот стол «ограниченным». Если вы пытаетесь ограничить доступ к таблице сэмплов, вам нужно добавить еще один оператор политики с Effect: Deny и указать ARN таблицы сэмплов в списке ресурсов. В таком случае запрос будет отклонен, поскольку Deny имеет приоритет. См. Определение того, разрешен ли запрос или Отказано.

person Simone Lusenti    schedule 06.02.2018
comment
Спасибо @simone, когда я редактировал политику с помощью визуального редактора, я получил эту проводную политику. Мне было интересно, если его наименьшая привилегия или нет. Спасибо за обновление - person RajDev; 07.02.2018