AWS允许策略为特定VPC上的实例创建标记

时间:2016-04-27 13:28:39

标签: amazon-web-services amazon-ec2 amazon-policy

我希望能够仅将标记应用于特定VPC(vpc-11111111)上在EC2中运行的实例。 我试图使用政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2TagNonresourceSpecificActions",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags",
                "ec2:DeleteTags",
                "ec2:DescribeTags"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:vpc": "arn:aws:ec2:<myRegion>:<myCustomerId>:vpc/vpc-11111111"
                }
            },
            "Resource": "*"
        }
    ]
}

但是具有此策略的用户无法修改标记,除非我删除了条件。

我做错了什么?

2 个答案:

答案 0 :(得分:1)

通常,如果给定某些特定的AWS用户权限,则标记权限位于策略内 新策略中的错误将覆盖这些默认访问权限。您应该使用AWS策略模拟器进行尝试。

尝试添加主体并尝试一下。 

"Principal": {
    "AWS": "arn:aws:iam::<myCustomerId>:user/*"
}

答案 1 :(得分:1)

根据亚马逊的文档和支持,标签不支持条件。

这是长达数年的功能要求!

相关问题
最新问题