Я хочу создать политику IAM, которая ограничит группу или пользователей остановкой / завершением двух используемых экземпляров EC2, но они могут создавать свои собственные экземпляры EC2. Для этого я использовал следующее заявление о политике:
{
"Sid": "Stmt1449662318000",
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": [
"*"
]
},
{
"Sid": "Stmt1449662339000",
"Effect": "Deny",
"Action": [
"ec2:*"
],
"Resource": [
"arn:aws:ec2::myAcctId:instance/i-4a36178ef",
"arn:aws:ec2::myAcctId:instance/i-9e3fb747"
]
}
Но это работает неправильно. Это позволяет другому пользователю / группе остановить мои уже использованные 2 экземпляра. Как этого добиться?
Я смог добиться этого, добавив в политику следующее заявление:
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*",
"Condition" : {
"StringNotEquals" : {
"ec2:ResourceTag/Name" : [
"UAT-Environment",
"INT-Environment"
]
}
}
}