我想创建 IAM 策略,限制组或用户停止/终止两个使用的 EC2 实例,但他们可以创建自己的 EC2 实例。我为此使用了以下策略声明:
{ “Sid”:“Stmt1449662318000”, "效果": "允许", “行动”: [ “ec2:*” ], "资源":[ “*” ] }, { “Sid”:“Stmt1449662339000”, “效果”:“拒绝”, “行动”: [ “ec2:*” ], "资源":[ “arn:aws:ec2::myAcctId:实例/i-4a36178ef” “arn:aws:ec2::myAcctId:实例/i-9e3fb747” ] }
但这无法正常工作。它允许其他用户/组停止我已经使用的 2 个实例。如何实现这一点?
答案1
我可以通过在政策中添加以下声明来实现这一点:
{ “操作”:“ec2:*”, "效果": "允许", "资源": "*", “健康)状况” : { “字符串不等于”:{ “ec2:资源标签/名称”:[ “UAT-环境” “INT-环境” ] } } }