我有一个IAM策略,该策略允许终止实例,仅在磁盘具有特殊标记时才分离磁盘。但是,此策略还具有createTags,运行实例的权限。由于此策略已应用于实例配置文件以实现自动化。出于安全原因,我想限制createTags权限,因此已将其添加到策略中
{ “ Sid”:“ VisualEditor0”, “效果”:“允许”, “ Action”:“ ec2:CreateTags”, “资源”:“ *”, “条件”:{ “ StringEquals”:{ “ ec2:CreateAction”:[ “ CreateVolume”, “ CreateSecurityGroup”, “ CreateNetworkInterface”, “ CreateSnapshot”, “ RunInstances” ] } } }
具有此角色的实例使用cloudformation部署计算机-但是,我在CFT部署期间获取Client.UnauthorizedOperation。似乎CFT在创建资源后添加了标签,这是违反的。我尝试添加cloudformation.amazonaws.com的sourceIp,但该策略出现验证错误。有没有一种方法可以将createTags限制为特定的调用者源-CFT是哪个ID?有没有办法让CFT在创建过程中创建标签?