Amazon web services 通过标记拒绝访问ec2_Amazon Web Services_Security_Amazon Iam

Amazon web services 通过标记拒绝访问ec2

amazon-web-services security

Amazon web services 通过标记拒绝访问ec2,amazon-web-services,security,amazon-iam,Amazon Web Services,Security,Amazon Iam,我想拒绝访问带有“MyInstance”值的“Type”标记的ec2 我有一个具有EC2FullAccess分配策略的Josh用户。我创建了具有以下规则的策略： { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals":

我想拒绝访问带有“MyInstance”值的“Type”标记的ec2

我有一个具有EC2FullAccess分配策略的Josh用户。我创建了具有以下规则的策略：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Type": "MyInstance"
        }
      }
    }
  ]
}

并将此策略分配给Josh用户。但是Josh仍然可以访问类型为：MyInstance标记的实例

此外，我还试图否认以下情况：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
    },
    {
      "Effect": "Deny",
      "Action": "ec2:Describe*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Type": "MyInstance"
        }
      }
    }
  ]
}

但是，没有成功。你能帮我取消这样的限制吗？谢谢。

您的要求是不可能的

descripbeInstances（）

调用被允许或拒绝。如果允许，将返回有关所有实例的信息

该页面不显示API调用的任何条件，因此无法制定仅允许指定了特定筛选器/实例ID的请求的策略

ec2:ResourceTag
条件只能用于页面上显示的API调用，其中
ec2:ResourceTag
在Conditions列中提到

如果您希望以这种方式隔离信息，那么您需要使用单独的AWS帐户，或者您需要创建一个“信息层”，它可以应用详细规则并代表您的用户进行信息API调用，只传递回允许的信息。
您所说的“拒绝访问”是什么意思？具体来说，您希望拒绝他们做什么？我希望Josh用户不会使用aws控制台在实例列表中看到带有“Type:MyInstance”标记的ec2实例。或者至少，Josh用户不应该看到此类实例的详细信息（公共ip、实例id等）。