我正在尝试为开发环境设置部署用户。
有什么方法可以限制该用户仅针对一组特定的域请求证书( acm:RequestCertificate )。例如“ *。dev.mydomain.com”
是这样吗?:
{
"Effect": "Allow",
"Action": [
"acm:RequestCertificate",
"acm:AddTagsToCertificate",
"acm:DescribeCertificate"
],
"Condition": {"aws:DomainName": "*.dev.mydomain.com" }
"Resource": [
"*"
]
}
我的目标是拥有可以执行任何类型的操作的用户,但在这种情况下只能执行特定的标记或域。
这似乎是AWS许可机制的死胡同。
我希望用户能够创建/删除/更新证书/ Route53 /节点,但只能用于开发环境。
答案 0 :(得分:1)
ACM仅可使用一些条件。
RequestCertificate
仅支持以下条件:
aws:RequestTag/${TagKey}
aws:TagKeys
也许您可能需要将域标记为特定值(例如,该域被列入白名单)。
然后创建一个custom config rule来检查标记是否与域匹配。如果失败,请执行Lambda补救措施以删除证书。