Я пытаюсь настроить профиль экземпляра для экземпляра EC2, который ограничивает свой доступ определенным путем в ведре S3, на основе Name тег этого экземпляра EC2. У меня есть политика близко, но все равно не работает.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:Get*",
"s3:List*"
],
"Resource": "arn:aws:s3:::some-bucket",
"Condition": {
"StringLike": {
"s3:prefix": [
"${aws:PrincipalTag/Name}/*"
]
}
}
}
]
}
Оказывается, что в случае ролей IAM для EC2 принципалом является сама роль; не экземпляр EC2. Есть ли способ использовать теги из экземпляра EC2 в документе политики?