amazon-web-services - AWS IAM策略-允许来自IP地址并允许Firehose

Question

我正在尝试建立一个ES实例，该实例除了允许Kinesis Firehose IAM角色将数据传递到实例之外，还允许从多个IP地址进行访问。

我在合并这两个策略时遇到了麻烦。每个人都有自己的作品。仅使用IP地址策略，我就可以从Kibana查看ES，但是无法使用Firehose传递数据。同样，仅使用Firehose策略，我可以交付数据，但不能查询ES。

有人可以帮我看看我在构造此访问策略时的错误吗？

这是ES实例上的策略:

"Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::iiiiiiiiiiii:role/firehose_delivery_role"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-west-2:iiiiiiiiiiii:domain/es-test/*"
    },
    {
      "Sid": "1",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "es:*",
      "Resource": "arn:aws:es:us-west-2:iiiiiiiiiiii:domain/es-test/*",
      "Condition": {
        "IpAddress": {
          "aws:SourceIp": [
            "xxx.xxx.xx.xxx",
            "yyy.yy.y.yyy"
          ]
        }
      }
    }
]

Answer 1

在语句之前添加以下内容:“Version”:“2012-10-17”，

对于源IP，是否指定了/ 32或/ 24之类的子网掩码？每个http://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html#Conditions_IPAddress

都需要

在第一个语句中添加一个唯一的“Sid”，第二个语句中有一个。文档说这是可选的，但是除了这些区别之外，我有一个非常接近您的工作策略。