我正在尝试创建一个IAM托管策略,以分配给QA用户,从而为他们提供对特定DBCluster(QA群集)的只读访问权限。
到目前为止,我还不能限制对特定集群的访问,只有在Resource标签设置为all的情况下,我才能使它正常工作
"PolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"rds:Describe*",
"rds:ListTagsForResource"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "DescribeQADatabase"
}
]
}
我尝试将Resource标记更改为特定的DBCluster ARN,但是当我这样做时,AWS控制台的RDS页面中什么也没有显示
另一个问题,如果我看一下AWS提供的AmazonRDSReadOnlyAccess,我会看到它可以访问大量其他AWS资源,例如ec2实例。我可以使用是否有一个文档/资源可以基本上告诉我如果要授予对特定资源的访问权限所需的所有依赖项?