注册
登录
决策支持
不支持带有“ aws:ResourceTag”的IAM策略
返回
不支持带有“ aws:ResourceTag”的IAM策略
作者:
春风助手
发布时间:
2024-04-11 09:05:33 (8天前)
<p>我正在尝试创建一个IAM策略,使用户可以完全访问dynamodb,但需要注意的是,表中必须带有Stage带有值的标记Dev。基本上,您可以创建表,但是应该在表上添加Stage带有值的标记Dev。您只能查看/更新等标记为的表Stage=Dev。</p><p>AWS文档提到了一种使用全局上下文密钥轻松实现此目的的方法:aws:ResourceTag</p><p>但是当我使用可视编辑器时,我在上下文键列表中找不到键。如果手动编辑JSON并添加JSON,则会收到警告condition key is not supported</p><p>这是我的政策:</p> <pre><code>{ "Version": "2012-10-17", "Statement": [ { "Sid": "OnlyDynamoDBWithTagValueDev", "Effect": "Allow", "Action": "dynamodb:*", "Resource": "arn:aws:dynamodb:*:accountnumber:table/*", "Condition": { "StringEquals": { "aws:ResourceTag/Stage": "Dev" } } } ]} </code></pre><p>我在这里可能做错了什么?</p>
收藏
举报
2 条回复
1#
回复此人
只怕再见是故人
|
2020-08-17 18-17
我认为您没有做错任何事情。AWS文档只是不正确且具有误导性。aws:ResourceTag不是此处所述的全局条件键。 全局条件键是带有aws:前缀的条件键。AWS服务可以提供包含服务前缀的特定于服务的密钥。例如,IAM条件键包括iam:前缀。 根据文档,任何带有aws:前缀的条件都是全局条件。但是,如果查看其他服务(例如IOT)的条件,则会看到带有aws:前缀的特定于服务的条件,该条件与文档冲突。 物联网服务水平条件 鉴于,ECR将ecr:ResourceTag和aws:ResourceTag条件都列为特定于服务的条件。 ECR服务等级条件 另一方面,EC2仅具有ec2:ResourceTag。RDS具有rds:db-tag相同的目的。但是,DynamoDb没有用于此目的的特定于服务的标签。 简而言之,aws:ResourceTag不是全局条件键。某些服务创建带有aws:前缀的特定于服务的标签,即使它们不符合AWS命名约定也是如此。 我建议您为开发资源创建一个单独的帐户。如果您不能这样做,则可以尝试更改策略中的逻辑作为一种解决方法,例如,代替标记条件,在策略中应用命名约定,例如,任何以dev_开头的表。
编辑
登录
后才能参与评论
