我有 nx 个 EC2 实例,我希望将 ec2 操作限制为具有相同键/值标签(IE 平台 = 开发)的实例。
我正在考虑使用附加到其默认 IAM 用户所在组的 IAM 策略来执行此操作。
政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/tag:platform": "dev"
}
}
}
]}
我根据在线 AWS 文档进行了设置:使用 AWS CLI 或 AWS 开发工具包的示例策略
我在 Policy Simulator 中检查它并且它按预期工作(传入 dev 并且它被允许,否则被拒绝)。
然后在其中一台带有标签键/对 platform=dev 的服务器上,我运行aws ec2 describe-instances我得到响应:
An error occurred (UnauthorizedOperation) when calling the DescribeInstances operation: You are not authorized to perform this operation.
但如果我删除条件它的工作原理。我不明白我做错了什么。任何帮助将不胜感激!