如何限制 IAM 策略以不允许停止/终止 EC2 实例但可以创建新实例?

如何限制 IAM 策略以不允许停止/终止 EC2 实例但可以创建新实例?

我想创建 IAM 策略,限制组或用户停止/终止两个使用的 EC2 实例,但他们可以创建自己的 EC2 实例。我为此使用了以下策略声明:

{
        “Sid”:“Stmt1449662318000”,
        "效果": "允许",
        “行动”: [
            “ec2:*”
        ],
        "资源":[
            “*”
        ]
    },
    {
        “Sid”:“Stmt1449662339000”,
        “效果”:“拒绝”,
        “行动”: [
            “ec2:*”
        ],
        "资源":[
            “arn:aws:ec2::myAcctId:实例/i-4a36178ef”
            “arn:aws:ec2::myAcctId:实例/i-9e3fb747”
        ]
    }

但这无法正常工作。它允许其他用户/组停止我已经使用的 2 个实例。如何实现这一点?

答案1

我可以通过在政策中添加以下声明来实现这一点:

{
      “操作”:“ec2:*”,
      "效果": "允许",
      "资源": "*",
      “健康)状况” : {
                    “字符串不等于”:{
                        “ec2:资源标签/名称”:[
                                        “UAT-环境”
                                        “INT-环境”
                                      ]
                            }
                    }
    }

相关内容