Мне просто интересно, почему политики IAM не поддерживают ARS в AutoScaling в поле «Ресурс»?Amazon Web Services - Почему IAM не поддерживает ARN для AutoScaling?
(documentation явно говорит, что ВРНС не поддерживаются)
An АРН (Amazon Имя ресурса) используется для обозначения конкретного ресурса в AWS.
Выборочные политики IAM включают в себя возможность specify resource-specific permissions, но группа автоматического масштабирования не включена.
IAM политика может предоставить разрешение на использование конкретных вызовов API (например autoscaling:SetDesiredCapacity), но эти разрешения предоставляются для всех автоматического масштабирования групп. Невозможно предоставить только такие разрешения для одной группы автомасштабирования.
Однако разрешения Amazon EC2 могут предоставляться конкретным ресурсам, и это можно сделать на основе тегов. Следовательно, должно быть возможно предоставить разрешения для выполнения действий (например, перезагрузки) экземпляров EC2, запущенных из определенной группы автоматического масштабирования, поскольку имя группы автоматического масштабирования сохраняется как тег.
С 15 мая 2017 года AWS Autoscaling начал поддерживать разрешения на уровне ресурсов.
Отлично! Спасибо за обновление. –
К сожалению (с момента написав комментарий), вы не можете имитировать это в симуляторе политики IAM – tkwargs
Можете ли вы объяснить ваш потребительной случай или потребность в этой функции? Может быть и альтернативный метод. –
@JohnRotenstein Не может комментировать от имени OP, но мы разделяем одну и ту же учетную запись AWS между несколькими проектами. Целью было бы ограничить разрешения, чтобы пользователь X мог управлять только ресурсами, связанными с проектом Z. Это требует указания целей в политике IAM. AutoScalingGroups - один из ресурсов (среди многих других). С ASG, к счастью, мы можем использовать теги, поэтому мне лично не нужна ARN. Конечно, если теги не установлены, тогда ARN будет полезен. –
К моему последнему комментарию, я имею в виду, что AWS поддерживает теги на 'AutoScalingGroup', но, к сожалению, не на' LaunchConfiguration', 'ScalingPolicy' и т. Д., Поэтому теги на самом деле не являются решением :( –