У меня есть AMI, которые я хочу разрешить отмеченный с тегом "типа".
Вот политика, которую я попробовал:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:StartInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/type": "permitted_amis"
}
},
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:CreateTags"
],
"Resource": [
"*"
]
}
]
}
Когда я пытался запустить экземпляр от одного из тех AMI, я отклонил разрешение.
Проблема в том, что у вас больше нет разрешений ec2:RunInstances, потому что вы добавили это разрешение вместе с условием, поэтому оно отменяет - оно будет искать экземпляр EC2 с этим тегом; видя, что у вас есть только "ec2:DescribeInstances" на ресурсе: ["*"];
Добавьте два отдельных утверждения и укажите точные ресурсы для каждого:
Пример: (взято из http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ExamplePolicies_EC2.html#ex5)
Следующая политика позволяет пользователям запускать экземпляры, используя только AMI, которые имеют указанный тег "department=dev", связанный с их. Пользователи не могут запускать экземпляры, используя другие AMI, потому что Элемент условия первого утверждения требует, чтобы пользователи уточняли АМИ, у которого есть эта метка. Пользователи также не могут запуститься в подсеть, так как политика не дает разрешений для подсети и сети. ресурсы интерфейса. Однако они могут быть запущены в EC2-Classic. второе утверждение использует подстановочный символ, чтобы позволить пользователям создавать экземпляр ресурсы, и требует от пользователей указания пары ключей project_keypair и группа безопасности sg-1a2b3c4d. Пользователи все еще могут запускать экземпляров без пары ключей.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:region::image/ami-*"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/department": "dev"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:region:account:instance/*",
"arn:aws:ec2:region:account:volume/*",
"arn:aws:ec2:region:account:key-pair/project_keypair",
"arn:aws:ec2:region:account:security-group/sg-1a2b3c4d"
]
}
]
}