AWS
IAM
AWS-SNS
awssns

AWS SNS の権限を絞るための Policy 設定

More than 1 year has passed since last update.

2018/05/22 時点の情報です

やろうとしたことができなかったのでメモ。


Endpoint の作成を制限する

Endpoint を作成する対象のアプリケーションを絞ろうと思ったが、できないらしい

スクリーンショット 2018-05-22 14.52.49.png

all resources とのこと。

アクションを複数まとめて指定した場合、エディタ上では Resources 欄には入力ができる状態になるが、設定すると二つに分かれた記載になる(んで、 CreatePlatformEndpoint の項目では Resources が * になる)

以前はこれをやってくれなくて、意味分からん状態になった記憶...


Publish する Endpoint を制限する

Publish する Endpoint を制限したいときは、 Endpoint が所属する Platform Application を指定することはできる。

{

"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": [
"arn:aws:sns:<region>:<account>:app/<app_name>"
]
}
]
}

次のように、 endpoint の範囲指定することはできない(arn はランダム文字列が振られるので、需要もほぼないと思いますが。)


bad

{

"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "sns:Publish",
"Resource": [
"arn:aws:sns:<region>:<account>:endpoint/<app_name>/*"
]
}
]
}

Topic は試してないのですが、入力欄は Topic Name を指定すると周辺に書いてあるので、当然できると思います。