Со следующей политикой в AWS IAM:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/project": "projectA"
}
},
"Resource": [
"arn:aws:ec2:your_region:your_account_ID:instance/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": [
"arn:aws:ec2:eu-west-1:REMOVED:instance/i-REMOVED"
]
}
]
}
Я могу запускать / останавливать работу в зависимости от ресурса, установленного для определенного идентификатора экземпляра. С другой стороны, действие DescribeInstances, которое я хотел бы ограничить активами EC2, помеченными как «project = projectA», похоже, не работает.
Я пытался перечислить их с помощью aws cli как:
aws ec2 describe-instances --filters Name=tag:project,Values=projectA
И тег фактически добавлен к рассматриваемому активу EC2.
Какие-нибудь советы / рекомендации?
P.S .: Я также попытался установить ресурс в части descriptioninstances как *, но все равно не пошел.
Закрытие этого вопроса, так как кажется, что условия не поддерживаются DescribeInstances.
DescribeInstances не допускает ограничения ресурсов (теги, идентификаторы конкретных экземпляров и т. Д.).