我正在嘗試應用阻止創建 EC2 實體的 AWS 服務控制策略,除非請求中提供了特定標簽。
為什么以下 SCP 拒絕在所有情況下創建 EC2 實體(帶有 ENI 和 EBS 卷),據我所知,即使我提供了所需的標簽?(僅供參考,我正在從 AWS 控制臺創建實體并在請求中添加標簽。)如果不應用此策略,我能夠成功創建實體。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RequireEnvironmentTag",
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:RunInstances"
],
"Resource": "*",
"Condition": {
"ForAllValues:StringNotEquals": {
"aws:TagKeys": "sc:environment"
}
}
}
]
}
uj5u.com熱心網友回復:
您提供的 SCP 已Resource設定為*,這會阻止創建您的 ENI ( network-interface)。
將資源設定為Amazon EC2 定義的特定支持資源型別以解決問題。
例如,下面的 SCP 應該只允許創建帶有標簽鍵的EC2實體sc:environment。
我還假設您正在指定ec2:CreateTags一個操作來阻止修改標簽,因為它們被設定為ec2:CreateTags評估修改現有標簽以及創建新標簽(他們可能應該重命名該操作)。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "RequireEnvironmentTag",
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:RunInstances"
]
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"ForAllValues:StringNotEquals": {
"aws:TagKeys": "sc:environment"
}
}
}
]
}
轉載請註明出處,本文鏈接:https://www.uj5u.com/qukuanlian/319052.html