Wie kann ich EC2 Beschreiben Bilder Berechtigungen beschränken?

Question

Ich versuche, die Bilder zu beschränken, die eine bestimmte IAM-Gruppe beschreiben kann. Wenn ich die folgende Richtlinie für meine Fraktion haben die Benutzer in der Gruppe können einen beliebigen EC2 Bild beschreiben:

{ 
    "Effect": "Allow", 
    "Action": ["ec2:DescribeImages"], 
    "Resource": ["*"] 
} 

Ich mag würde nur die Gruppe erlauben ein einzelnes Bild zu beschreiben, aber wenn ich "Resource": ["arn:aws:ec2:eu-west-1::image/ami-c37474b7"] versuchen Einstellung ich Ausnahmen erhalten, wenn das Bild als Mitglied der Gruppe zu beschreiben versuchen:

AmazonServiceException Status Code: 403, 
    AWS Service: AmazonEC2, 
    AWS Request ID: 911a5ed9-37d1-4324-8493-84fba97bf9b6, 
    AWS Error Code: UnauthorizedOperation, 
    AWS Error Message: You are not authorized to perform this operation. 

ich das ARN-Format für EC2 Bilder von IAM Policies for EC2 bekam, aber vielleicht ist etwas falsch mit meiner ARN? Ich habe überprüft, dass die Anforderung zum Beschreiben eines Bildes einwandfrei funktioniert, wenn der Wert meiner Ressource "*" ist.

Answer 1

Leider ist die Fehlermeldung ist irreführend, das Problem ist, dass Resource-Level Permissions for EC2 and RDS Resources sind noch nicht für alle API-Aktionen zur Verfügung, sehen diese Notiz von Amazon Resource Names for Amazon EC2:

Wichtige

Derzeit nicht alle API Aktionen unterstützen individuelle ARNs; Wir werden später weitere API-Aktionen und ARNs für zusätzliche Amazon EC2-Ressourcen hinzufügen. Informationen zu den ARNs, die Sie mit verwenden können, mit den Amazon EC2-API-Aktionen sowie der unterstützten Bedingung Schlüssel für jeden ARN, finden Sie unter Supported Resources and Conditions for Amazon EC2 API Actions.

Insbesondere sind alle ec2:Describe* Aktionen sind immer noch abwesend von Supported Resources and Conditions for Amazon EC2 API Actions zum Zeitpunkt des Schreibens dieses Artikels, die die Sie verwenden können nicht für ec2:DescribeImages aber "Resource": ["*"] etwas bedeutet.

Die betroffene Seite auf Granting IAM Users Required Permissions for Amazon EC2 Resources erwähnt auch, dass AWS Unterstützung für weitere Aktionen hinzufügen, ARN und Konditionsschlüssel 2014 - sie haben in der Tat regelmäßig Ressourcenebene Erlaubnis Berichterstattung im vergangenen Jahr erweitert oder so schon, aber so weit nur für Aktionen, die Ressourcen erstellen oder modifizieren, aber keine, die nur Lesezugriff erfordern, was viele Benutzer aus offensichtlichen Gründen wünschen und erwarten, einschließlich mir selbst.