要求:限制IAM用户创建具有专用租期的VPC。 IAM用户只能使用默认租用创建VPC。
IAM用户附带的IAM策略:
{
"Sid": "limitedTenancyVpc",
"Effect": "Deny",
"Action": "ec2:CreateVpc",
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:Tenancy": [
"default"
]
}
}
}
我知道对于VPC, InstanceTenancy 是要使用的关键字。我尝试过使用它,但它不起作用。附加了此政策的IAM用户可以创建具有专用租期的VPC。
请提出建议。
答案 0 :(得分:1)
由于没有与ec2:CreateVPC操作关联的条件,因此无法限制此限制。请参阅可用的EC2 conditions keys列表。
但是, ec2:tenancy 条件可用于ec2:runInstances。因此,您可以改为拒绝以专用租期启动实例作为护栏的请求。
共有3种不同的租赁类型:默认,专用和主机。拒绝请求将租期设置为主机还是专用。
{
"Sid": "limitedTenancyVpc",
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"ec2:Tenancy": [
"host",
"dedicated"
]
}
}
}