AWS IAM-基于资源标签拒绝某些EC2操作?

时间:2019-02-27 22:35:23

标签: amazon-web-services amazon-ec2 amazon-iam

我正在尝试构建一个IAM策略,如果资源具有特定的资源标签(开发),则允许任何EC2操作,但是拒绝该标签是否为其他值(生产)。这就是我到目前为止所拥有的。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": "ec2:Describe*",
        "Resource": "*"
    },
    {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": "ec2:*",
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringEquals": {
                "ec2:ResourceTag/Environment": "Development"
            }
        }
    },
    {
        "Sid": "VisualEditor2",
        "Effect": "Deny",
        "Action": "ec2:*",
        "Resource": "*",
        "Condition": {
            "ForAnyValue:StringEquals": {
                "ec2:ResourceTag/Environment": "Production"
            }
        }
    }

]}

我有一个带有资源标签“环境”和值为“生产”的AMI,但是仍然可以注销它,而没有任何问题。我在做什么错了?

致谢

1 个答案:

答案 0 :(得分:2)

ec2:DeregisterImage操作当前不支持ec2:ResourceTag/${TagKey}

请参阅Actions Defined for EC2,其中提供了EC2操作支持的条件列表。

相关问题
最新问题