是否可以从 AWS IAM 策略中的显式拒绝中排除卷
{
"Sid": "DenyCreationOfUnencryptedEBSVOL",
"Effect": "Deny",
"Action": "ec2:CreateVolume",
"Resource": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
}
},
这会阻止任何未加密的卷创建。
考虑使用条件组合将只允许在值的任何位置包含名称值的卷。
“测试_未加密”
{
"Sid": "DenyCreationOfUnencryptedEBSVOL",
"Effect": "Deny",
"Action": "ec2:CreateVolume",
"Resource": "*",
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
},
"StringNotLike": {
"aws:ResourceTag/Name":"*Test_Unencrypted*"
}
}
},
是否可以像上面那样从拒绝中排除单个资源?