IAM策略以拒绝将现有实例升级到某些ec2实例类型

时间:2020-10-21 09:09:08

标签: amazon-web-services amazon-iam

我一直在尝试创建一个IAM策略,该策略拒绝用户修改超出特定大小的实例类型。例如,如果用户要将t3a.micro的ec2实例修改为t3a.small,则应允许它们。但是出于节省成本的原因,应该拒绝将它们修改为增加实例,例如* .large实例类型。

这可能吗?

我一直在尝试为ec2:ModifyInstanceAttribute创建一个条件,但是似乎无法解决它。

这是我目前的政策,但是它仅不允许基于当前类型而不是目标类型更改实例。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "LimitEC2policy",
            "Effect": "Deny",
            "Action": [
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:ModifyInstanceAttribute"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "ForAnyValue:StringNotLike": {
                    "ec2:InstanceType": [
                        "*.nano",
                        "*.small",
                        "*.micro",
                        "*.medium"
                    ]
                }
            }
        }
    ]
}

1 个答案:

答案 0 :(得分:0)

AWS Support的答案是不可能的,因为ec2:InstanceType按当前正在运行的实例类型进行过滤。因此无法按目标类型进行过滤。

相关问题
最新问题