Amazon web services AWS IAM策略-限制专有网络租赁

要求：限制IAM用户使用专用租赁创建VPC。IAM用户应只能使用默认租赁创建VPC

附加到IAM用户的IAM策略：

    {
        "Sid": "limitedTenancyVpc",
        "Effect": "Deny",
        "Action": "ec2:CreateVpc",
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "ec2:Tenancy": [
                    "default"
                ]
            }
        }
    }

我知道对于VPCInstanceTenancy是要使用的关键字。我试过了，但它不起作用。附加了此策略的IAM用户可以使用专用租赁创建VPC

---

请建议。

不可能限制此操作，因为没有与ec2:CreateVPC操作相关的条件。请参阅可用资源列表

但是，ec2:tenancy条件可用于ec2:runInstances。因此，您可以拒绝启动实例的请求，将专用租赁作为一道屏障

有3种不同的租赁类型：默认、专用和主机。如果租约设置为主机或专用，则拒绝请求

{
    "Sid": "limitedTenancyVpc",
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "ec2:Tenancy": [
                "host", 
                "dedicated"
            ]
        }
    }
}

---

谢谢你的回复。然而，这并没有起作用。在策略中添加上述详细信息后，我仍然能够创建具有专用租赁的VPC。我理解您的观点，在AWS管理控制台中，我们在创建VPC时只能看到默认和专用。我的回答用于拒绝用户启动具有专用租赁的实例。但是，您希望阻止使用专用租赁创建VPC。很遗憾，这是不可能的。请参阅我的更新答案。@PavanRao您可能正在寻找一些即使存在也不会帮助您的东西。这个答案是正确的，因为VPC租约只在一个方向上约束实例的类型，而不是在另一个方向上——具有专用租约的VPC要求所有实例都具有专用租约，但所有VPC都允许实例具有专用租约。如果您不想允许专用租赁，限制一种类型的专有网络创建将无法实现该目标。