the*_*thv 5 amazon-ec2 amazon-web-services amazon-iam
我有 nx 个 EC2 实例,我希望将 ec2 操作限制为具有相同键/值标签(IE 平台 = 开发)的实例。
我正在考虑使用附加到其默认 IAM 用户所在组的 IAM 策略来执行此操作。
政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/tag:platform": "dev"
}
}
}
]}
我根据在线 AWS 文档进行了设置:使用 AWS CLI 或 AWS 开发工具包的示例策略
我在 Policy Simulator 中检查它并且它按预期工作(传入 dev 并且它被允许,否则被拒绝)。
然后在其中一台带有标签键/对 platform=dev 的服务器上,我运行aws ec2 describe-instances我得到响应:
An error occurred (UnauthorizedOperation) when calling the DescribeInstances operation: You are not authorized to perform this operation.
但如果我删除条件它的工作原理。我不明白我做错了什么。任何帮助将不胜感激!
问题是并非每个 API 操作和资源都会接受条件中的 ec2:ResourceTag/tag。
我认为您可能授予了过于广泛的权限(操作:ec2:*),因此请弄清楚您的实例需要执行哪些操作,然后决定如何限制它们。
操作、资源和条件键的列表可以在Amazon EC2 API 操作支持的资源级权限中找到。
| 归档时间: |
|
| 查看次数: |
1183 次 |
| 最近记录: |