È possibile generare una chiave di accesso AWS tramite IAM per l'utilizzo con l'API di pubblicità del prodotto? - api, amazon-web-services, amazon-product-api, amazon-iam

Mi piace usare IAM (Identity and Access Management) per creare utenti / gruppi con autorizzazioni specifiche per scopi specifici.

L'API per la pubblicità del prodotto richiede l'uso di una chiave di accesso (parametro richiesta è AWSAccessKeyId) e IAM possono generare chiavi di accesso, ma non vedo un modo per consentire agli utenti / ai gruppi IAM di accedere solo l'API di pubblicità del prodotto.

Qualcuno sa se questo può essere fatto? O conosci una soluzione?

risposte:

Aggiornare

Leggendo il thread citato Politiche IAM per l'API di prodotti Amazon rivela completamente che l'interrogante ha effettivamente cercato di fare proprio questo, cioè usare le chiavi di accesso IAM per accedere all'API di pubblicità del prodotto, ma apparentemente senza successo. Quindi temo il menzionato Risposta del team AWS deve essere preso alla lettera e il tuo caso d'uso non è ancora coperto da IAM, sfortunatamente.

Risposta iniziale

AWS Identity and Access Management (IAM) attualmente non supporta il API di pubblicità del prodotto (vedi la risposta del team AWS a Politiche IAM per l'API di prodotti Amazon), ma supponendo che le chiavi di accesso IAM in quanto tali funzionino anche lì, è possibile negare l'accesso ai propri utenti / gruppi ogni altro Servizio AWS che supporta IAM tramite un rispettivo Politica IAM almeno (che dovrebbe coprire la maggior parte di quelli critici). Consigliato Generatore di politiche AWS può aiutare a elaborare una rispettiva politica, che in realtà potrebbe essere così semplice (ho appena selezionato Effetto -> Nega e controllato il Servizio AWS -> Tutti i servizi casella di controllo):

{
"Statement": [
{
"Sid": "Stmt1331670627168",
"Action": "*",
"Effect": "Deny",
"Resource": "*"
}
]
}

Come API del prodotto Amazon non è ancora coperto dalle politiche IAM, ci si può aspettare che sia sufficiente avere un utente senza alcuna politica allegata perché il default è negare. (In altre parole, per tale utente tutto verrà negato ad eccezione dell'API del prodotto che non è protetta da IAM.)

Ma questo non è vero. Qualunque cosa abbia provato, ho potuto accedere all'API solo con la mia chiave di root. (Per evitare implicazioni sulla sicurezza, ho deciso di registrare un account aggiuntivo senza carta di credito allegata.)

API del prodotto Amazon FA lavorare con IAM.

Ho creato un utente IAM. "Non fa parte di un gruppo e non ha ruoli. Ho solo allegato la politica" AdministratorAccess ". L'ho testato nelle operazioni" ItemSearch "e" CartCreate ". Funziona molto bene.

Puoi anche creare una nuova politica di rifiuto per limitare l'accesso dell'utente ad altri servizi come descritto da byronicM qui: https://forums.aws.amazon.com/message.jspa?messageID=289929#289929

Fino a quando Amazon non lo supporta, è consigliabileper creare una chiave completa separata ed eliminarli in seguito al termine dello sviluppo. Pertanto, la prima chiave di produzione non viene esposta e non è necessario modificarla, il che ti farà risparmiare tempo.