如何允许 EC2 实例从 OS 访问它自己的标签
How to allow an EC2 instance access to its own tags from the OS
我需要创建一个 IAM 托管策略,允许给定的 EC2 实例从 OS (Linux) 中查看自己的标签。我已经能够通过将政策设置为:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1473154086000",
"Effect": "Allow",
"Action": [
"ec2:DescribeTags"
],
"Resource": [
"*"
]
}
]
}
以上内容让我 运行 实例中的 ec2-describe-tags 很好,但可以看到所有资源中的所有标签。我想将它限制为只能看到它自己的标签。我已尝试将 EC2 实例 ARN 用作资源,但这没有用。我也尝试过使用实例 IP 的条件;没有运气。如果可能的话,我真的很想锁定它;任何帮助将不胜感激。
操作 ec2:DescribeTags 不是 "resource-level",因此,您无法限制特定资源。
参见:http://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html#ec2-api-unsupported-resource-permissions
我需要创建一个 IAM 托管策略,允许给定的 EC2 实例从 OS (Linux) 中查看自己的标签。我已经能够通过将政策设置为:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1473154086000",
"Effect": "Allow",
"Action": [
"ec2:DescribeTags"
],
"Resource": [
"*"
]
}
]
}
以上内容让我 运行 实例中的 ec2-describe-tags 很好,但可以看到所有资源中的所有标签。我想将它限制为只能看到它自己的标签。我已尝试将 EC2 实例 ARN 用作资源,但这没有用。我也尝试过使用实例 IP 的条件;没有运气。如果可能的话,我真的很想锁定它;任何帮助将不胜感激。
操作 ec2:DescribeTags 不是 "resource-level",因此,您无法限制特定资源。 参见:http://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html#ec2-api-unsupported-resource-permissions