我制定了白名单策略,其中包含要从中获取IP的IP地址列表
下面的示例,认为策略ARN为arn:aws:iam::0000000:policy/Whitelister
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"W.X.Y.Z",
"A.B.C.D"
]
}
}
}
]
}
我有一个AWS Elasticsearch(ES)帐户,该帐户允许基于JSON的访问策略。如何在AWS ES的策略中使用以上策略来仅限制对这些IP的访问。
我现在有书面IP,但是这将导致冗余,并且IP的更新将很困难。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Principal": "*",
"Action": "*",
"Resource": [
"arn:aws:es:****************/domain-name/*",
"arn:aws:es:****************/domain-name/"
],
"Condition": {
"NotIpAddress": {
"aws:SourceIp": [
"W.X.Y.Z",
"A.B.C.D"
]
}
}
}
]
}
很遗憾,您无法使用您的ES域IP策略中的策略。
让我详细说明一下,因为我认为基于资源的策略(例如ES域的IP策略与用于IAM用户,角色的基于身份的策略)之间存在混淆或组。差异在AWS docs中进行了说明。
您的策略arn:aws:iam::0000000:policy/Whitelister是所谓的managed-policy。受管策略只能附加到可以为[[IAM用户,组或角色的IAM identity。它们不能附加到基于资源的策略。