我正在尝试在CloudSearch域上设置权限。
此政策有效:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::55555555:user/SearchUser"
},
"Action": "cloudsearch:*"
}
]
}
这不是:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::55555555:group/SearchGroup"
},
"Action": "cloudsearch:*"
}
]
}
唯一的区别是user / SearchUser vs group / SearchGroup
当我尝试应用后者时,它只是给我一个错误:
设置策略时出错: [{"版本":"二〇一二年十月一十七日""声明":[{"效果":"允许&# 34;,"主" {" AWS":" ARN:AWS:IAM :: 55555555:组/ SearchGroup"}"动作&#34 ;:" cloudsearch:*"}]}]
关于政策为什么适用于用户但不适用于群组的任何想法?
答案 0 :(得分:4)
不支持群组。
指定校长
您使用的亚马逊资源名称(ARN)指定主体 AWS账户,IAM用户,IAM角色,联合用户或假定角色用户。 您不能将IAM组指定为主体。
http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Principal