Как ограничить доступ к AWS SSM с помощью тега EC2
Я не могу найти ответ, который прояснит это для меня
Я смотрю на этот пример:https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-examples.html
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
}
]
}
в чем разница между aws:TagKeys, ssm:resourceTag/tag-key, aws:ResourceTag/${TagKey}
что такое ssm:resourceTag? отличается ли он от aws:ResourceTag/${TagKey}? Это специальный тег, применяемый системным администратором? я не использую системный менеджер для применения тегов к экземплярам ec2, я просто помечаю их вручную. Как ограничить доступ диспетчера сеансов к моим экземплярам ec2 с помощью тегов, которые я применил к ним вручную?
Поскольку в документе указан тег экземпляра EC2, и я попробовал это, это работает, кстати, возможно, вам следует разрешить агенту SSM копать информацию об экземпляре в SSM, где вы сможете увидеть информация об экземпляре, такая как тег экземпляра в AWS Systems Manager -> Fleet Manager -> идентификатор экземпляра :XXX.
Пока я работал над фильтрацией доступа к использованию по тегам экземпляра,после включения инвентаризации в SSM все работает.