Amazon web services 使用IAM限制对特定Cloudfront发行版的访问_Amazon Web Services_Amazon Cloudfront_Amazon Iam

Amazon web services 使用IAM限制对特定Cloudfront发行版的访问

amazon-web-services

Amazon web services 使用IAM限制对特定Cloudfront发行版的访问,amazon-web-services,amazon-cloudfront,amazon-iam,Amazon Web Services,Amazon Cloudfront,Amazon Iam,我试图让特定的IAM用户访问特定的Cloudfront发行版。我尝试过这个策略： { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1428659042000", "Effect": "Allow", "Action":["cloudfront:*"], "Resource": [ "arn:aws:clo

我试图让特定的IAM用户访问特定的Cloudfront发行版。我尝试过这个策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1428659042000",
            "Effect": "Allow",
            "Action":["cloudfront:*"],
            "Resource": [ "arn:aws:cloudfront:E3J2B3GMZI73G0" ]
        }
    ]
}

AWS-IAM策略检查器表示arn无效。根据Cloudfront上有关IAM限制的文档，AWS没有指出任何限制访问特定发行版的示例。它们总是指：

"Resource":"*"

关于如何让特定用户访问具体的Cloudfront发行版的想法？

不幸的是，所有AWS服务都不支持资源级权限，事实上，根据中的概述表，这一点也在中得到了明确确认：

在编写策略以控制对CloudFront操作的访问时，可以使用星号（*）作为资源。这是因为您不能使用IAM来控制对特定CloudFront资源的访问。例如，您不能授予用户访问特定发行版的权限。使用IAM授予的权限包括您在CloudFront中使用的所有资源由于您无法指定要控制访问的资源，因此在IAM策略中没有CloudFront资源ARN（亚马逊资源名称）可供您使用。[…][我的重点]

非常感谢。我试图限制资源，但它不起作用（这是令人惊讶的，我希望AWS增加对这方面的支持。遗憾的是AWS不支持这一点。如果您有许多用于多个目的/用户的发行版，那么管理所有发行版的安全/权限规则非常复杂。非常感谢您的回复。我们可以使用基于标记的访问限制吗？@VarunChandak-还没有：虽然AWS目前正在根据其服务组合中的标签进行授权（即，相当多的人最近获得了此功能），但CloudFront尚不受支持（您始终可以通过中的相应表进行交叉检查）。