AWS ermöglichen Richtlinie erstellen Tags für Instanzen auf einer bestimmten VPC

Question

Ich möchte Tags nur auf Instanzen in EC2 auf einer bestimmten VPC (vpc-11111111) anwenden können. Ich habe versucht, die Richtlinie verwenden

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "EC2TagNonresourceSpecificActions", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:CreateTags", 
       "ec2:DeleteTags", 
       "ec2:DescribeTags" 
      ], 
      "Condition": { 
       "StringEquals": { 
        "ec2:vpc": "arn:aws:ec2:<myRegion>:<myCustomerId>:vpc/vpc-11111111" 
       } 
      }, 
      "Resource": "*" 
     } 
    ] 
} 

aber den Benutzer mit dieser Politik kann nicht die Tags ändern, wenn ich den Zustand entfernen.

Was habe ich falsch gemacht?

Answer 1

Tags unterstützen keine Bedingungen, laut Amazon Docs und Support.

Dies ist eine seit Jahren bestehende Funktionswünsche!

Answer 2

Normalerweise sind die Tag-Rechte in den Richtlinien enthalten, wenn ihnen bestimmte AWS-Benutzerrechte zugewiesen wurden.
Fehler in Ihren neuen Richtlinien überschreiben diesen Standardzugriff. Sie sollten es mit dem AWS-Richtliniensimulator ausprobieren.

Versuchen Sie, ein Prinzipal hinzuzufügen und es auszuprobieren.

"Principal": { 
    "AWS": "arn:aws:iam::<myCustomerId>:user/*" 
}