为了实现这一点,我创建了AWS策略
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "UpdateIngress",
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "arn:aws:ec2:us-west-2:***:security-group/lc-github-action-ips"
},
{
"Sid": "DescribeGroups",
"Effect": "Allow",
"Action": "ec2:DescribeSecurityGroups",
"Resource": "*"
}
]
}
然后将其分配给用户。我试着运行以下命令来测试这个
aws ec2 describe-security-groups --filters Name=group-name,Values=lc-github-action-ips
但它什么也没回。如果我和管理员用户一起运行上面的命令,它会在Json中返回安全组的详细信息
我在这里缺了什么?
似乎您分配策略的用户没有编程访问权限。
在.aws/credentials文件中使用新用户的访问密钥id/secret访问密钥创建了一个新用户和一个新配置文件。
使用新配置文件成功地运行了与下面相同的命令,保持了与您共享的策略相同(区域和帐户除外(。
aws ec2 describe-security-groups --filters Name=group-name,Values=lc-github-action-ips --profile newuserprofile