0

我正在尝试编写一个 IAM 策略,该策略仅在安全组是两种类型之一时才允许 AWS 用户启动实例。因为没有安全组条件密钥,所以我选择使用条件语句,这样除非安全组属于这两个类别中的任何一个,否则EC2 实例无法启动/运行。我在下面的策略中引用这些批准的安全组的方式是通过它们的标签。

我遇到的问题是,当我有一个确实等于第一个条件的安全组时,可以启动一个实例。但是,当我使用等于“UCSFInbound”(第二个条件)的安全组时,实例不会启动(即使它应该启动)。

我确实有一个单独的策略,它授予对 EC2 资源的更广泛访问权限,但是,据我了解,AWS 首先在“允许”操作之前注册“拒绝”操作。如果这是我遇到问题的原因,那么这两种情况(安全组)都不应该起作用。

IAM 政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Deny",
            "Action": [
                "ec2:StartInstances",
                "ec2:RunInstances"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*:*:launch-template/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:placement-group/*",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*::image/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "ec2:ResourceTag/aws:cloudformation:stack-id": "NetworkResourcesStack"
                },
                "StringNotEquals": {
                    "ec2:ResourceTag/Name": "UCSFInbound"
                }
            }
        }
    ]
}
4

1 回答 1

0

通常,您应该避免使用Deny策略,除非它推翻了其他策略。

例如,您可以像这样控制对 Amazon S3 的访问:

  1. Allow所有员工都可以访问所有 S3 存储桶
  2. Deny如果您不是 HR 员工,则可以访问 HR 存储桶

这使用通用策略来允许大多数访问,但随后使用拒绝来覆盖特殊情况。

因此,您应该将允许他们使用 EC2arn:aws:ec2:region:account:security-group/security-group-id的初始策略放入其中。Allow

于 2018-05-21T22:53:01.553 回答