Amazon web services AWS IAM策略-限制专有网络租赁
要求:限制IAM用户使用专用租赁创建VPC。IAM用户应只能使用默认租赁创建VPC 附加到IAM用户的IAM策略:Amazon web services AWS IAM策略-限制专有网络租赁,amazon-web-services,amazon-vpc,Amazon Web Services,Amazon Vpc,要求:限制IAM用户使用专用租赁创建VPC。IAM用户应只能使用默认租赁创建VPC 附加到IAM用户的IAM策略: { "Sid": "limitedTenancyVpc", "Effect": "Deny", "Action": "ec2:CreateVpc", "Resource": "arn:aws:ec2:*:*:vpc/*", "Condition": { "ForAnyVa
{
"Sid": "limitedTenancyVpc",
"Effect": "Deny",
"Action": "ec2:CreateVpc",
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:Tenancy": [
"default"
]
}
}
}
我知道对于VPCInstanceTenancy是要使用的关键字。我试过了,但它不起作用。附加了此策略的IAM用户可以使用专用租赁创建VPC
请建议。不可能限制此操作,因为没有与ec2:CreateVPC操作相关的条件。请参阅可用资源列表 但是,ec2:tenancy条件可用于ec2:runInstances。因此,您可以拒绝启动实例的请求,将专用租赁作为一道屏障 有3种不同的租赁类型:默认、专用和主机。如果租约设置为主机或专用,则拒绝请求
{
"Sid": "limitedTenancyVpc",
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"ec2:Tenancy": [
"host",
"dedicated"
]
}
}
}
谢谢你的回复。然而,这并没有起作用。在策略中添加上述详细信息后,我仍然能够创建具有专用租赁的VPC。我理解您的观点,在AWS管理控制台中,我们在创建VPC时只能看到默认和专用。我的回答用于拒绝用户启动具有专用租赁的实例。但是,您希望阻止使用专用租赁创建VPC。很遗憾,这是不可能的。请参阅我的更新答案。@PavanRao您可能正在寻找一些即使存在也不会帮助您的东西。这个答案是正确的,因为VPC租约只在一个方向上约束实例的类型,而不是在另一个方向上——具有专用租约的VPC要求所有实例都具有专用租约,但所有VPC都允许实例具有专用租约。如果您不想允许专用租赁,限制一种类型的专有网络创建将无法实现该目标。