将 AWS SSM PutParameter 限制为特定层次结构中的参数
Restrict AWS SSM PutParameter to parameters in a specific hierarchy
我知道我可以在 GetParameter/DeleteParameter 等上创建权限,以将用户限制在特定层次结构下的项目,例如:
/MyApp/dev/*
我是否可以类似地阻止用户在该层次结构之外创建参数,如果可以,如何做?
下面的政策怎么样?
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:GetParameterHistory",
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/myparam/test/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters",
"kms:ListAliases"
],
"Resource": "*"
}
]
}
我知道我可以在 GetParameter/DeleteParameter 等上创建权限,以将用户限制在特定层次结构下的项目,例如:
/MyApp/dev/*
我是否可以类似地阻止用户在该层次结构之外创建参数,如果可以,如何做?
下面的政策怎么样?
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ssm:PutParameter",
"ssm:DeleteParameter",
"ssm:GetParameterHistory",
"ssm:GetParametersByPath",
"ssm:GetParameters",
"ssm:GetParameter",
"ssm:DeleteParameters"
],
"Resource": "arn:aws:ssm:*:*:parameter/myparam/test/*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ssm:DescribeParameters",
"kms:ListAliases"
],
"Resource": "*"
}
]
}