Ich habe n x EC2-Instanzen, die ich ec2-Aktionen auf Instanzen mit dem gleichen Schlüssel/Wert-Tag (IE platform = dev) begrenzen möchte.IAM-Richtlinie mit Bedingung ec2: ResourceTag funktioniert nicht
Ich suche diese bei tun eine IAM-Politik mit an die Gruppe gebunden ist ihre Standard IAM Benutzer in ist
Politik:.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/tag:platform": "dev"
}
}
}
]}
ich dies gemäß den Online-AWS docs einrichten: Example Policies for Working With the AWS CLI or an AWS SDK
Ich überprüfe es im Policy Simulator und es funktioniert wie erwartet (übergeben Sie ein Dev und es ist erlaubt, sonst verweigert). Dann
auf einem der Server mit dem Tag key/Paar platform = dev, ich aws ec2 describe-instances
laufen bekomme ich die Antwort:
An error occurred (UnauthorizedOperation) when calling the DescribeInstances operation: You are not authorized to perform this operation.
aber wenn ich den Zustand entfernen es funktioniert. Ich verstehe nicht, was ich falsch mache. Jede Hilfe wäre dankbar erhalten!
Danke Chris, ich habe das nur getestet. Ich habe die spezifischen Aktivitäten getestet und funktioniert ohne die Bedingung. Indem ich damit arbeitete, nahm ich an, dass ich die Faktoren reduzierte, die falsch sein könnten, aber gemäß der anderen Antwort kann ich mich nicht darauf verlassen, dass sie wahr sind (die Bedingung funktioniert möglicherweise nur mit spezifischeren Maßnahmen/Ressourcendefinitionen). . – the4thv