使用标签访问“资源组”的IAM策略失败。
【以下的问题经过翻译处理】 你好,
我正在尝试给IAM用户分配标记资源的访问权限。
我已经用“cs-namespace”:“test1”标记了一些资源,并创建了一个带有相同键值对的“资源组”。
列出了可访问的资源,但是当我的IAM用户尝试访问标记的“资源组”时,它会给我一个“Forbidden”。
有人能建议我漏掉了什么吗?
{
“Version”:“2012-10-17”,
“Statement”:[
{
“Sid”:“ResourceGroupList”,
“Effect”:“Allow”,
“Action”:[
“resource-groups:ListGroupResources”,
“resource-groups:ListGroups”,
“resource-groups:GetGroupQuery”,
“resource-groups:GetTags”
],
“Resource”:“*”
},
{
“Sid”:“ResourceGroupView”,
“Effect”:“Allow”,
“Action”:[
“resource-groups:GetGroup”,
“resource-groups:SearchResources”
],
“Resource”:“*”,
“Condition”:{
“StringEqualsIgnoreCase”:{
“aws:ResourceTag / cs-namespace”:“test1”
}
}
}
]
}
- 最新
- 最多得票
- 最多評論
【以下的回答经过翻译处理】 你好,若您添加了 "tag:GetResources",则资源组将会正常显示,不会出现任何错误。
以下是完整的策略内容:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ResourceGroupList", "Effect": "Allow", "Action": [ "resource-groups:ListGroupResources", "resource-groups:ListGroups", "resource-groups:GetGroupQuery", "resource-groups:GetTags", "tag:GetResources" ], "Resource": "" }, { "Sid": "ResourceGroupView", "Effect": "Allow", "Action": [ "resource-groups:GetGroup", "resource-groups:SearchResources" ], "Resource": "", "Condition": { "StringEqualsIgnoreCase": { "aws:ResourceTag/cs-namespace": "test1" } } } ] }
希望能为您提供帮助!
-randy
