資源:當任何條件索引鍵符合字串時拒絕動作 - AWS Batch

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資源:當任何條件索引鍵符合字串時拒絕動作

下列政策拒絕存取 RegisterJobDefinition API 當 batch:Image(容器映像 ID) 條件索引鍵為 " 時, 操作string1" 或 batch:LogDriver(容器日誌驅動程式) 條件索引鍵為 "string2." 當任務跨越多個容器時,例如多節點平行任務,容器可能會有不同的組態。如果在一個陳述式中評估多個條件索引鍵,則會使用AND邏輯合併。因此,如果多個條件索引鍵中的任何一個與容器不相符,則不會套用該容器Deny的效果。相反地,同一任務中的不同容器可能會遭到拒絕。

如需 的條件金鑰清單 AWS Batch,請參閱服務授權參考 中的 的條件金鑰 AWS Batch。除了 之外batch:ShareIdentifier,所有batch條件索引鍵都可以以此方式使用。(batch:ShareIdentifier條件索引鍵是為任務定義,而非任務定義。)

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "batch:RegisterJobDefinition"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Deny",
      "Action": [
        "batch:RegisterJobDefinition"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "batch:Image": [
            "string1"
          ]
        }
      }
    },
    {
      "Effect": "Deny",
      "Action": [
        "batch:RegisterJobDefinition"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "batch:LogDriver": [
            "string2"
          ]
        }
      }
    }
  ]
}