我正在尝试创建一个策略,该策略允许更改已停止的实例的用户数据,这些实例的标签为:“名称”:“ MyApp”,但仅允许我查看该用户数据。当我单击“保存”时,它说我未被授权。
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringLike": {
"ec2:ResourceTag/Name": "MyApp"
}
}
使它起作用的唯一方法是删除“条件”。但是,看来我的情况是正确的。我已经将条件与“ ec2:StartInstances”之类的其他动作一起使用,并且可以正常工作。
答案 0 :(得分:1)
如您在Actions, Resources, and Keys for EC2中所见,ec2:ModifyInstanceAttribute特权不支持任何条件键。它也不支持任何资源块。这样,您将需要授予ec2:ModifyInstanceAttribute的用户来修改用户数据,而无需指定条件键,并且将其范围限制为Resource: "*"才能授予此特权。
似乎没有AWS支持的方法来获得所需的配置。
更新:AWS在the AWS forum中也给出了相同的响应。