尝试配置可以使用策略列出的实例时,我会注意以下问题:
包含条件的示例策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1461235889000",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:InstanceType": "r3.xlarge"
}
}
}
]
}
这里有什么问题?
答案 0 :(得分:4)
ec2:DescribeInstances操作does not support resource-level permissions或申请条件。
来自上面的链接文档:
...要在IAM策略中使用这些操作,您必须授予用户使用语句中Resource元素的*通配符来使用操作的所有资源的权限。 您无法使用Amazon EC2条件密钥执行这些操作。
所以你没有条件的*通配符的使用是有效的,但是遗憾的是,应用任何条件(在撰写本文时)都不会按预期工作。
进一步阅读: