AWS 允许策略为特定 VPC 上的实例创建标签
AWS allow policy to create tags for instances on a particular VPC
我希望能够仅将标签应用于特定 VPC (vpc-11111111) 上 EC2 中的实例 运行。
我尝试使用政策
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagNonresourceSpecificActions",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeTags"
],
"Condition": {
"StringEquals": {
"ec2:vpc": "arn:aws:ec2:<myRegion>:<myCustomerId>:vpc/vpc-11111111"
}
},
"Resource": "*"
}
]
}
但是具有此策略的用户不能修改标签,除非我删除条件。
我做错了什么?
通常情况下,如果授予某些特定的 AWS 用户权限,则标签权限包含在策略中。
新策略中的错误将覆盖这些默认访问权限。您应该使用 AWS 策略模拟器进行尝试。
尝试添加主体并尝试一下。
"Principal": {
"AWS": "arn:aws:iam::<myCustomerId>:user/*"
}
根据亚马逊文档和支持,标签不支持条件。
这是一个多年来一直存在的功能请求!
我希望能够仅将标签应用于特定 VPC (vpc-11111111) 上 EC2 中的实例 运行。 我尝试使用政策
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "EC2TagNonresourceSpecificActions",
"Effect": "Allow",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:DescribeTags"
],
"Condition": {
"StringEquals": {
"ec2:vpc": "arn:aws:ec2:<myRegion>:<myCustomerId>:vpc/vpc-11111111"
}
},
"Resource": "*"
}
]
}
但是具有此策略的用户不能修改标签,除非我删除条件。
我做错了什么?
通常情况下,如果授予某些特定的 AWS 用户权限,则标签权限包含在策略中。
新策略中的错误将覆盖这些默认访问权限。您应该使用 AWS 策略模拟器进行尝试。
尝试添加主体并尝试一下。
"Principal": {
"AWS": "arn:aws:iam::<myCustomerId>:user/*"
}
根据亚马逊文档和支持,标签不支持条件。
这是一个多年来一直存在的功能请求!