Policy IAM user Appstream2.0

Is it possible to give access only to a certain image, stack, or fleet with IAM policies?

Do you have any examples?

I tried with a policy but it returns this error:

User: arn:aws:iam::xxxxxxxxx:user/xxxxxxxx is not authorized to perform: appstream:DescribeFleets on resource: arn:aws:appstream:eu-central-1:xxxxxxxxxxx:fleet/* because no boundary policy allows the appstream:DescribeFleets action

My need is: in an AWS account, an IAM user must only see some image/fleet/stack.

thanks

トピック

セキュリティ、アイデンティティ、コンプライアンス管理とガバナンスエンドユーザーコンピューティング

タグ

AWS Identity and Access Management AWS Management Console AWS コマンドラインインターフェイス Amazon AppStream IAM ポリシー

言語

English

AWS-User-6631477

質問済み 2年前709ビュー

1回答

新しい順
投票が多い順
コメントが多い順

The AppStream 2.0 console doesn't currently support restricting what a user can see based on tags or other resource boundary. For example, the Stacks page calls the AppStream 2.0 API "DescribeStacks" without specifying any boundaries or tags. You can use tags to prevent a user from updating an AppStream 2.0 resource without specify a specific tag - for example, if a user/role should only be able to modify resources with a tag key of "Stage" and value of "NonProd", you can specify that as a condition.

エキスパート

MuraliAtAWS

回答済み 2年前

AWS-User-6631477
2年前
thanks for your answer MuraliAtAWS. So a policy with these controls (see example) is not possible?

"Resource": [ "arn:aws:appstream:eu-central-1:123.....:image-builder/imagebuilder01" "arn:aws:appstream:eu-central-1:123.....:stack/stack01", "arn:aws:appstream:eu-central-1:123.....:app-block/", "arn:aws:appstream:eu-central-1:123.....:fleet/fleet1", "arn:aws:appstream:eu-central-1:123.....:application/", "arn:aws:appstream:eu-central-1:123.....:image/image01" ], "Condition": { "StringEqualsIfExists": { "aws:username": "user01" } }

関連するコンテンツ

Bitnami WordPress With NGINXで特定ページのみBASIC認証
odahara
質問済み 3年前
IAM Identity Center上でAdministratorAccessを付与しているユーザーでログインしている際に、AWS IoT Coreでモノのアクティビティに「Unable to connect to the Device Gateway」エラーが表示される場合の権限設定についての質問
kmgp
質問済み 1ヶ月前
Elastic Beanstalk 環境の作成に失敗する(Environment must have instance profile associated with it.)
承認された回答
rePost-User-3443462
質問済み 1年前
How to add an IAM policy to restrict HTTP request methods and only allow POST to be used HTTP要求メソッドを制限し、POSTのみを使用できるようにIAMポリシーを追加する方法
承認された回答
Dgk
質問済み 5ヶ月前
Amazon EKS の「Your current user or role does not have access to Kubernetes objects on this EKS cluster」というエラーを解決する方法を教えてください。
AWS公式更新しました 1年前
「Policy contains a statement with one or more invalid principals (1 つ以上の無効なプリンシパルを持つステートメントがポリシーに含まれています)」という AWS KMS キーポリシーエラーを解決する方法を教えてください。
AWS公式更新しました 2年前
Amazon S3 でバケットポリシーを変更しようとすると表示される「You don't have permissions to edit bucket policy」というエラーをトラブルシューティングするにはどうすればよいですか?
AWS公式更新しました 1年前
キャッシュが有効になっている Lambda オーソライザーを使用する API Gateway プロキシリソースが、HTTP 403「User is not authorized to access this resource (ユーザーはこのリソースへのアクセスを許可されていません)」というエラーを返すのはなぜですか。
AWS公式更新しました 2年前
アベイラビリティーゾーン (AZ) の移行&インスタンスのアップグレードガイド
エキスパート
Sumikawa_M
公開済み 4ヶ月前
AWS Application Migration Service (MGN) とエージェントレス vCenter クライアントを利用して VMware 仮想環境から AWS への移行を加速させる
エキスパート
Koichi Takeda
公開済み 1ヶ月前