IAM(Identity and Access Management)を使用して、特定の目的のために特定のアクセス許可を持つユーザー/グループを作成するのが好きです。
Product Advertising APIではアクセスキー(リクエストパラメータはAWSAccessKeyId )を使用する必要があり、IAMはアクセスキーを生成できますが、IAMユーザー/グループにProductAdvertisingAPIのみへのアクセスを許可する方法がわかりません。
これができるかどうか誰か知っていますか?または、回避策を知っていますか?
上記のAmazonProductAPIのスレッドIAMポリシーを読むと、質問者が実際にそれを試みた、つまりIAMアクセスキーを使用してProduct Advertising APIにアクセスしようとしたが、明らかに役に立たなかったことがわかります。そのため、前述のAWSチームの対応は文字通りに行われる必要があり、残念ながら、ユースケースはまだIAMでカバーされていません。
AWS Identity and Access Management(IAM)は現在Product Advertising APIをサポートしていません( Amazon Product APIのIAMポリシーに対するAWSチームの応答を参照)が、IAMアクセスキー自体もそこで機能すると仮定すると、ユーザー/グループは、少なくともそれぞれのIAMポリシー(重要なポリシーの大部分をカバーする必要があります)を使用して、IAMをサポートする他のすべてのAWSサービスにアクセスします。推奨されるAWSPolicyGeneratorは、それぞれのポリシーの作成に役立ちます。これは、実際にはこれと同じくらい簡単な場合があります([Effect]-> [Deny ]を選択し、[AWS Service]-> [All Services ]チェックボックスをオンにしました)。
{
"Statement": [
{
"Sid": "Stmt1331670627168",
"Action": "*",
"Effect": "Deny",
"Resource": "*"
}
]
}
Amazon Product APIはまだIAMポリシーの対象外であるため、デフォルトでは拒否されるため、ポリシーが添付されていないユーザーがあれば十分であると予想できます。(言い換えると、そのようなユーザーの場合、IAMによって保護されていないProduct APIを除いて、すべてが拒否されます。)
しかし、それは真実ではありません。何を試しても、rootキーでしかAPIにアクセスできませんでした。(セキュリティへの影響を避けるために、クレジットカードを添付せずに追加のアカウントを登録することにしました。)
AmazonProductAPIはIAMと連携します。
IAMユーザーを作成しました。グループではなく、役割もありません。「AdministratorAccess」ポリシーのみを添付しました。「ItemSearch」と「CartCreate」の操作でテストしました。それは非常にうまく機能しています。
byronicMの説明に従って、新しい拒否ポリシーを作成して他のサービスへのユーザーアクセスを制限することもできます:https ://forums.aws.amazon.com/message.jspa?messageID = 289929#289929
これは今年初めに静かに追加されました(ドキュメント)。このポリシーを使用します。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ProductAdvertisingAPI:*",
"Resource": "*"
}
]
}
Amazonがこれをサポートするまでは、別の完全なキーを作成し、後で開発が完了したときにそれらを削除することをお勧めします。したがって、最初の本番キーは公開されておらず、変更する必要もありません。これにより、時間を節約できます。