Rodrigo Fernandes

Posted on May 19, 2023

AWS IAM - Policy - Troubleshooting

#aws #devops #cloud #security

Anotações sobre o AWS IAM Policy - Troubleshooting para ajudar na preparação das certificações AWS.

Até o momento as anotações são para as certificações abaixo:

JSON Error Bucket S3

{
    "Statement": {
        "Effect": "Allow",
        "Action": "*",
        "Resource": "arn:aws:s3:::examplebucket",
        "Resource": "arn:aws:s3:::examplebucket/*"
    }
}

Resolução

Só pode haver 1 Resource
Inserir o Version
Tabular e inserir os Resources em []

Policy corrigida

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "*",
            "Resource": [
                "arn:aws:s3:::nomedobucket",
                "arn:aws:s3:::nomedobucket/*"
            ]
        }
    ]
}

IAM Policy user access

{
    "Statement": [
        {
            "Action": [
                "iam:*AccessKey*"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::id-conta-aws:user/${aws:username}"
            ]
        }
    ]
}

Resolução

Por não estar difinido na policy o Version está com o padrão "Version": "2008-10-17" e os Elementos da Policy são compativeis somente na nova versão - "Version": "2012-10-17"
Alterar a variável ${aws:username} para o _username _estático

Policy corrigida - Sem Version

{
    "Statement": [
        {
            "Action": [
                "iam:*AccessKey*"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::id-conta-aws:user/username"
            ]
        }
    ]
}

Policy corrigida - Com Version

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "iam:*AccessKey*"
            ],
            "Effect": "Allow",
            "Resource": [
                "arn:aws:iam::id-conta-aws:user/${aws:username}"
            ]
        }
    ]
}

Policy acesso CloudFront

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "cloudfront:*",
        "Resource": [
            "arn:aws:cloudfront:*"
        ]
    }]
}

Resolução

Cada serviço da AWS pode definir ações, recursos e chaves de contexto de condição para uso em políticas do IAM. No caso do CloudFront basta especificar "*" no Resource.

Policy corrigida

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "cloudfront:*",
        "Resource": "*"
    }]
}

Bucket Policy

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow"
        "Action": "s3:*"
        "Resource": [
            "*"
        ]
    }]
}

Resolução

Validação da estrutura da Policy, falta a "," no Effect

Policy corrigida

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Action": "s3:*",
        "Resource": [
            "*"
        ]
    }]
}

Policy 5

{
      "Version": "2012-10-17",
      "Statement": {
         "Effect":"Allow",
         "Action":"ec2:Describe*",
         "Resource":"*"
      }
}
{ 
      "Statement": {
         "Effect": "Allow",
         "Action": "s3:*",
         "Resource": "arn:aws:s3:::my-bucket/*"
      }
}

Resolução

Só pode haver 1 statement
Quebrar a Police em Blocos c/ []

Policy corrigida

{
      "Version": "2012-10-17",
      "Statement": [{
         "Effect":"Allow",
         "Action":"ec2:Describe*",
         "Resource":"*"
      },
      {
         "Effect": "Allow",
         "Action": "s3:*",
         "Resource": "arn:aws:s3:::my-bucket/*"
       }
      ]
}

DEV Community

AWS IAM - Policy - Troubleshooting

JSON Error Bucket S3

IAM Policy user access

Policy acesso CloudFront

Bucket Policy

Policy 5

Referências

Top comments (0)

Read next

LitmusChaos is joining Kubecon + CloudNativeCon North America 2024!

Scaling Applications to Zero with Kubernetes and KEDA

React + AWS Cognito: Email Authentication Setup Guide (First Part)

Using a Self-Signed Certificate with Git Clone Https