我是AWS的新手,请多多包涵。
我目前有这个ecs.yaml
:
...
ECSSendMessageToSQSRole:
Type: AWS::IAM::Role
Properties:
AssumeRolePolicyDocument:
Statement:
- Effect: Allow
Principal:
Service:
- ecs-tasks.amazonaws.com
Action: sts:AssumeRole
Policies:
- PolicyName: ecs-service
PolicyDocument:
Statement:
- Effect: Allow
Action:
- ssm:*
- s3:*
Resource: '*'
如您所见,该策略允许我们的角色访问所有S3存储桶和所有SSM功能。
我想通过以下方式更改权限:
S3存储桶:仅当我们拥有存储桶时,才允许执行所有操作。
SSM:例如,只允许执行一个名为GetParameter的操作。
我想SSM部分可以满足以下要求:
- PolicyName: ecs-service
PolicyDocument:
Statement:
- Effect: Allow
Action:
- ssm:GetParameter
但是如何将S3存储桶的权限仅锁定给所有者?