我对策略变量“ $ {aws:username}”感到困惑,即它是我登录AWS账户时使用的IAM用户名还是 是我在创建实例时手动在标签中输入的标签值吗?
实际上,我想实现的是,只有ec2实例的所有者才能执行操作,其他应被拒绝。以下政策应该有效吗?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
答案 0 :(得分:0)
IAM评估策略时,将策略变量$ {aws:username}替换为当前IAM用户的友好名称。
https://aws.amazon.com/premiumsupport/knowledge-center/iam-ec2-resource-tags/
您的政策应该有效。