我尝试使用此政策:
{
"Version":"2012-10-17",
"Statement":[{
"Effect":"Allow",
"Action":"rds:*",
"Resource":"arn:aws:rds:sa-east-1:442617300818:db:databasename"
}]
}
响应是:
用户:arn:aws:iam::442617300818:user/wa-DB-developers 不是 授权执行:rds:DescribeDBInstances(服务:AmazonRDS; 状态码:403;错误代码:拒绝访问;请求编号: 5f1e86c6-8145-11e4-9598-27c541a5a3a7)
谢谢!
【问题讨论】:
标签: amazon-web-services amazon-rds amazon-iam
可以使用IAM Policy Simulator 调试策略。
模拟器允许您选择用户、操作(例如 DescribeDbInstances)和资源,然后确定是否允许用户在该资源上调用该操作。
在您的具体情况下,由于该策略仅授予对特定 RDS 实例的权限,因此在未指定特定实例的情况下调用 DescribeDBIntances 将失败。
例如,从 CLI 会失败:
aws rds describe-db-instances
但是,这将起作用:
aws rds describe-db-instances --db-instance-identifier databasename
这是因为您没有授予查看所有数据库的权限。仅查询策略已授予访问权限的特定数据库将成功。
【讨论】:
describe-db-instances 但将他的结果列表仅限于策略指定的实例,例如几个db-instance-identifiers?
describe-db-instances 命令是一个“全有或全无”的 API 调用。如果有人有权拨打电话,则返回所有数据。见:Amazon RDS Actions That Don't Support Resource-Level Permissions
db-instance-identifier 来过滤列表。否则,当列表变大时,它将不知道应该连接到哪个 RDS。我错过了什么吗?我的用例有什么解决方法吗?
这对我有用。这种方式让用户查看所有数据库,然后拒绝访问您不希望用户进行调整的数据库。用户将能够看到其他实例,但无法影响它们。他们将不甚至能够看到日志、标签等。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"rds:*",
"cloudwatch:DescribeAlarms",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeAccountAttributes",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVpcs",
"sns:ListSubscriptions",
"sns:ListTopics",
"logs:DescribeLogStreams",
"logs:GetLogEvents"
],
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Deny",
"Action": [
"rds:*"
],
"Resource": "arn:aws:rds:eu-west-1:accountIDofIAMUser:db:instancename"
}
]
}
您可能遇到的唯一问题是,如果您有许多实例需要删除访问权限,除此之外,只要您对用户看到其他数据库的整体视图感到满意,您应该可以继续使用.
【讨论】: