AWS IAM - 根据资源标签拒绝某些 EC2 操作？

Posted 2023-04-13

【中文标题】AWS IAM - 根据资源标签拒绝某些 EC2 操作？

【英文标题】：AWS IAM - Deny certain EC2 actions based on resource tags?

【发布时间】：2019-02-27 22:35:23

【问题描述】：

我正在尝试构建一个 IAM 策略，如果资源具有特定的资源标签（开发），则允许任何 EC2 操作，但如果标签是不同的值（生产），则拒绝。这是我目前所拥有的。

"Version": "2012-10-17",
"Statement": [
    
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": "ec2:Describe*",
        "Resource": "*"
    ,
    
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": "ec2:*",
        "Resource": "*",
        "Condition": 
            "ForAllValues:StringEquals": 
                "ec2:ResourceTag/Environment": "Development"
            
        
    ,
    
        "Sid": "VisualEditor2",
        "Effect": "Deny",
        "Action": "ec2:*",
        "Resource": "*",
        "Condition": 
            "ForAnyValue:StringEquals": 
                "ec2:ResourceTag/Environment": "Production"
            
        
    

]

我有一个资源标签为“环境”且值为“生产”的 AMI，但我仍然可以毫无问题地取消注册它。我做错了什么？

问候

【参考方案1】：

[更新：2021-10]

似乎ec2:DeregisterImage 现在同时支持aws:ResourceTag/$TagKey 和ec2:ResourceTag/$TagKey。

[原件：2019-02]

ec2:DeregisterImage 操作目前不支持ec2:ResourceTag/$TagKey。

请参阅Actions Defined for EC2，它提供了 EC2 操作支持的条件列表。