Нещодавно я почав використовувати нову службу Amazon Elasticsearch, і я не можу визначити потрібну мені політику доступу, щоб я міг отримувати доступ до служб лише з моїх екземплярів EC2, яким призначена певна роль IAM.
Ось приклад політики доступу, яку я наразі призначив для домену ES:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"AWS": [
"arn:aws:iam::[ACCOUNT_ID]:role/my_es_role",
]
},
"Action": "es:*",
"Resource": "arn:aws:es:us-east-1:[ACCOUNT_ID]:domain/[ES_DOMAIN]/*"
}
]
}
Але, як я вже сказав, це не працює. Я входжу в екземпляр EC2 (який має my_es_role
додану до нього роль) і намагаюся запустити простий виклик curl у кінцевій точці "https: //*.es.amazonaws.com", я отримую таку помилку:
{"Повідомлення": "Користувач: анонім не має права виконувати: es: ESHttpGet на ресурсі: arn: aws: es: us-east-1: [ACCOUNT_ID]: domain / [ES_DOMAIN] /“}
Хтось знає, що я повинен змінити в політиці доступу, щоб це працювало?