0

我希望能够仅将标签应用于在特定 VPC (vpc-11111111) 上的 EC2 中运行的实例。我尝试使用该政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EC2TagNonresourceSpecificActions",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags",
                "ec2:DeleteTags",
                "ec2:DescribeTags"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:vpc": "arn:aws:ec2:<myRegion>:<myCustomerId>:vpc/vpc-11111111"
                }
            },
            "Resource": "*"
        }
    ]
}

但除非我删除条件,否则拥有此策略的用户无法修改标签。

我做错了什么?

4

2 回答 2

1

通常,如果授予某些特定 AWS 用户权限,则标签权限位于策略中。
新策略中的错误将覆盖这些默认访问权限。您应该使用 AWS 策略模拟器进行尝试。

尝试添加一个主体并尝试一下。 

"Principal": {
    "AWS": "arn:aws:iam::<myCustomerId>:user/*"
}
于 2016-04-27T13:45:43.247 回答
1

根据亚马逊文档和支持,标签不支持条件。

这是多年来的长期功能要求!

于 2016-09-24T09:41:01.183 回答