标记资源的AWS CDK策略条件

时间:2020-06-05 13:25:47

标签: amazon-web-services amazon-cloudformation amazon-iam aws-cdk

我目前正在使用CDK创建一个AWS堆栈。我为部署堆栈的用户定义了一个策略,使其具有正确的权限。在CDK中,我将资源标记为:

ComboBoxItem

我想使用条件策略来允许我的用户具有仅修改或删除标记有正确团队的资源的权限:

所以这是我需要在以下条件下部署堆栈的策略示例:

const app = new cdk.App();
const scheme = new MyTemplateStack(app, 'MyTemplateStack');


cdk.Tag.add(scheme, 'Team', 'myTeamName');

但是当我尝试再次部署堆栈时,出现以下错误,表明我没有被授权:

        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:RevokeSecurityGroupIngress",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Team": "myTeamName"
                }
            }
        }

我已经看过文档,但是我不明白为什么这行不通。

感谢您的帮助!

1 个答案:

答案 0 :(得分:0)

在我看来,您允许ec2:RevokeSecurityGroupIngress,但是尝试调用ec2:RevokeSecurityGroupEgress操作。你能验证一下吗?

相关问题
最新问题