我正在尝试设置一个IAM策略,该策略将允许从客户端VPN端点导出客户端配置:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:ExportClientVpnClientConfiguration"
],
"Resource": [
"arn:aws:ec2:us-east-1:123456789123:cvpn-endpoint/cvpn-endpoint-0123456789abcdef0"
],
"Effect": "Allow"
}
]
}
但是当我尝试这样做时,这会出现未经授权的错误:
import boto3
ec2_client = boto3.client('ec2')
response = ec2_client.export_client_vpn_client_configuration(ClientVpnEndpointId='cvpn-endpoint-0123456789abcdef0')
具有这些凭据。将资源ARN更改为*可以执行该操作,因此得出的结论是,我错误地构造了ARN。但是我终生无法找到正确的ARN结构:describe-client-vpn-endpoints的响应中没有返回它,也无法在Web控制台或文档中的任何位置找到它。谁能启发我有关客户端VPN端点的正确ARN结构是什么?