name - ¿Es posible generar una clave de acceso de AWS a través de IAM para usar con la API de publicidad del producto?
get access key and secret key aws s3 (5)
Me gusta usar IAM (Identity and Access Management) para crear usuarios / grupos con permisos específicos para fines específicos.
La API de publicidad del producto requiere el uso de una clave de acceso (el AWSAccessKeyId solicitud es AWSAccessKeyId ) y IAM puede generar claves de acceso, pero no veo una manera de otorgar acceso a los usuarios / grupos de IAM solo a la API de publicidad del producto.
Alguien sabe si esto se puede hacer? ¿O sabes de una solución?
Actualizar
Al leer el subproceso mencionado, las políticas de IAM para la API de producto de Amazon revelan por completo que el interrogador en realidad trató de hacerlo, es decir, usar las claves de acceso de IAM para acceder a la API de publicidad del producto, pero aparentemente no sirvió de nada. Entonces, me temo que la respuesta del equipo de AWS mencionada debe tomarse literalmente y su caso de uso aún no está cubierto por IAM, desafortunadamente.
Respuesta inicial
AWS Identity and Access Management (IAM) actualmente no es compatible con la API de publicidad del producto (consulte la respuesta del equipo de AWS a las políticas de IAM para la API de producto de Amazon ), pero suponiendo que las claves de acceso de IAM también funcionen allí, puede negar su Los usuarios / grupos acceden a todos los demás servicios de AWS compatibles con IAM por medio de una política de IAM respectiva como mínimo (que debería cubrir la mayoría de las críticas). El generador de políticas de AWS recomendado puede ayudarlo a elaborar una política respectiva, que en realidad podría ser tan simple como esto (simplemente seleccioné Efecto -> Denegar y marqué la casilla Servicio AWS -> Todos los servicios ):
{
"Statement": [
{
"Sid": "Stmt1331670627168",
"Action": "*",
"Effect": "Deny",
"Resource": "*"
}
]
}
Como la API de productos de Amazon aún no está cubierta por las políticas de IAM , se puede esperar que sea suficiente tener un usuario sin ninguna política adjunta porque el valor predeterminado es negar . (En otras palabras, para tal usuario, se negará todo, excepto la API del producto que no está protegida por IAM).
Pero eso no es cierto. Lo que sea que probé solo podía acceder a la API con mi clave raíz. (Para evitar implicaciones de seguridad, decidí registrar una cuenta adicional sin tarjeta de crédito adjunta).
Esto fue agregado silenciosamente a principios de este año ( documentation ). Utilice esta política:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ProductAdvertisingAPI:*",
"Resource": "*"
}
]
}
Hasta que Amazon lo admita, se recomienda que cree una clave completa separada y la elimine más adelante cuando haya terminado con el desarrollo. Por lo tanto, la primera clave de producción no está expuesta y no necesitará cambios, lo que le ahorrará tiempo.
La API de productos de Amazon funciona con IAM.
He creado un usuario IAM. No está en un grupo y no tiene roles. Sólo adjunté la política de "Administrador de Acceso". Lo probé en las operaciones "ItemSearch" y "CartCreate". Está funcionando muy bien.
También puede crear una nueva política de denegación para restringir el acceso de los usuarios a otros servicios como lo describe byronicM aquí: https://forums.aws.amazon.com/message.jspa?messageID=289929#289929