AWS Data Pipeline: Verweigert den Zugriff auf DataPipeline-Pipelines, die ein Benutzer nicht erstellt hat - AWS Identity and Access Management

AWS Data Pipeline: Verweigert den Zugriff auf DataPipeline-Pipelines, die ein Benutzer nicht erstellt hat

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die den Zugriff auf Pipelines verweigert, die ein Benutzer nicht erstellt hat. Wenn der Wert des PipelineCreator-Feldes dem IAM-Benutzernamen entspricht, dann werden die angegebenen Aktionen nicht verweigert. Diese Richtlinie gewährt die Berechtigungen, die erforderlich sind, um diese Aktion programmgesteuert über die AWS-API oder -AWS CLI durchzuführen.

Wichtig

Diese Richtlinie lässt keine Aktionen zu. Verwenden Sie diese Richtlinie in Kombination mit anderen Richtlinien, die bestimmte Aktionen zulassen. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "ExplicitDenyIfNotTheOwner",
            "Effect": "Deny",
            "Action": [
                "datapipeline:ActivatePipeline",
                "datapipeline:AddTags",
                "datapipeline:DeactivatePipeline",
                "datapipeline:DeletePipeline",
                "datapipeline:DescribeObjects",
                "datapipeline:EvaluateExpression",
                "datapipeline:GetPipelineDefinition",
                "datapipeline:PollForTask",
                "datapipeline:PutPipelineDefinition",
                "datapipeline:QueryObjects",
                "datapipeline:RemoveTags",
                "datapipeline:ReportTaskProgress",
                "datapipeline:ReportTaskRunnerHeartbeat",
                "datapipeline:SetStatus",
                "datapipeline:SetTaskStatus",
                "datapipeline:ValidatePipelineDefinition"
            ],
            "Resource": ["*"],
            "Condition": {
                "StringNotEquals": {"datapipeline:PipelineCreator": "${aws:userid}"}
            }
        }
    ]
}