我有一个iam policy,要求Runinstances还包含我们财务部门认为需要的四个标签。
我想将此政策附加到所有角色,但是,我们无法使用AWS Orgs。
我可以通过哪些方式实现这一目标?我想到的一些想法是
实现部署iam策略的目标有什么好方法,以便RunInstances事件包含所需的标记?
答案 0 :(得分:0)
有两种方法可以强制执行标记:
AWS Organizations无法提供此级别的细粒度控制 - 它只能在没有任何条件的情况下授予或拒绝特定的API调用(例如ec2:RunInstance)。
要在启动时强制执行标记,您需要修改授予RunInstances权限的所有策略。或者,您可以创建拒绝策略并将其附加到所有用户,这将覆盖标准的允许策略。请参阅:EC2 IAM policy to require tags