堆栈内存溢出
  繁体   English   中英

禁止在 sns:ListTopics 上使用通配符资源

[英]Forbidden on sns:ListTopics with wildcard resources

 原文  2021-02-16 11:38:52       amazon-web-services/ go/ amazon-sns

问题描述

只要我们根据某个前缀对资源进行操作,我的团队就有一个对 SNS 具有完全权限的帐户

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "sns:CreateTopic",
          // ...
          "sns:ListTopics",
          // ...
      ],
      "Resource": "arn:aws:sns:eu-west-1:{redacted}:team-prefix-*"
    },

我们可以很好地完成大多数操作,至少是我们最需要的那些,但是如果我们尝试列出主题,我们会得到一个禁止的错误

SNS: ListTopics, AuthorizationError: User xxx is not authorized to perform: SNS:ListTopics on resource: arn:aws:sns:eu-west-1:{redacted}:*

我们正在使用新的 go SDK v2,我们找不到只查询我们的主题的方法,有没有办法列出它们,还是我们需要所有帐户主题的列表权限?

1 个解决方案

解决方案1
 0  2022-09-13 18:42:52

sns:ListTopics 没有资源过滤器( https://docs.aws.amazon.com/sns/latest/api/API_ListTopics.html )它是全有或全无操作。
亚马逊文档除外: if you specify a resource type in a statement with an action that does not support that resource type, then the statement doesn't allow access. 关联

通常,如果您希望能够列出,则 IAM 文档应该是这样的。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
          "sns:CreateTopic"
      ],
      "Resource": "arn:aws:sns:eu-west-1:{redacted}:team-prefix-*"
    },
    {
      "Effect": "Allow",
      "Action": [
          "sns:ListTopics",
      ],
      "Resource": "*"
    },
...

如果粒度级别的分离确实是一个大问题,则应使用单独的 AWS 账户。

暂无
暂无

声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.

相关问题 无权执行:SNS:ListTopics 资源:arn:aws:sns Boto3 SNS发布到通配符主题ARN 我是否需要.ebextensions才能使用DynamoDB或SNS等AWS资源? AWS Lambda SNS/SQS 没有通知我资源增加(给出错误消息) 使用我的用户帐户使用 terraform 在 root 帐户中创建 sns 和 cloudwatch 资源 Amazon SNS:MessageAttributes TTL SNS主题未触发Lambda SNS移动推送 Amazon SNS 示例应用程序 AWS SNS确认订阅PHP
相关标签
 
粤ICP备18138465号  © 2020-2024 STACKOOM.COM