[英]AWS IAM Deny access to update specific route in a VPC Route Table
我有一個允許更新路由表中的路由的 EC2 實例。 但我不希望它可以更新所有路線。 我通過 CloudFormation 創建這些路由,首先我嘗試進行導出以引用特定路由並拒絕訪問資源:
- Effect: Allow
Action:
- 'ec2:CreateRoute'
- 'ec2:DescribeNetworkInterfaceAttribute'
- 'ec2:DescribeNetworkInterfaces'
- 'ec2:DescribeRouteTables'
- 'ec2:ModifyNetworkInterfaceAttribute'
- 'ec2:ReplaceRoute'
- 'ec2:DeleteRoute'
Resource: '*'
- Effect: Deny
Action:
- 'ec2:CreateRoute'
- 'ec2:ReplaceRoute'
- 'ec2:DeleteRoute'
Resource:
- !ImportValue 'Devops-Dev-Route'
但是我收到一個錯誤“資源 DevVP-1PR60X60UDUJN 必須是 ARN 格式”。 正如我所見,沒有辦法獲得 ARN,因為 AWS::EC2::Route 沒有這樣的屬性。
另一種嘗試是創建包含所有必要 CIDRS 的 VPC 托管前綴列表並拒絕對其進行訪問。 CloudFormation 堆棧部署正常,但角色可以訪問所有路由,因為這是兩種不同的資源類型(AWS::EC2::Route 和 AWS::EC2::PrefixList)
有什么建議我該怎么做?
IAM 不支持在 EC2 的 IAM 策略的資源部分添加特定路由。
路由表資源類型對應於 AWS::EC2::RouteTable 而不是 AWS::EC2::Route。 您還可以參考上述鏈接中的操作部分,以獲取每個單獨操作支持的資源列表。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.