Amazon web services 通过标记拒绝访问ec2
我想拒绝访问带有“MyInstance”值的“Type”标记的ec2 我有一个具有EC2FullAccess分配策略的Josh用户。 我创建了具有以下规则的策略:Amazon web services 通过标记拒绝访问ec2,amazon-web-services,security,amazon-iam,Amazon Web Services,Security,Amazon Iam,我想拒绝访问带有“MyInstance”值的“Type”标记的ec2 我有一个具有EC2FullAccess分配策略的Josh用户。 我创建了具有以下规则的策略: { "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals":
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Type": "MyInstance"
}
}
}
]
}
并将此策略分配给Josh用户。但是Josh仍然可以访问类型为:MyInstance标记的实例
此外,我还试图否认以下情况:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
},
{
"Effect": "Deny",
"Action": "ec2:Describe*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Type": "MyInstance"
}
}
}
]
}
但是,没有成功。你能帮我取消这样的限制吗?谢谢。您的要求是不可能的
descripbeInstances()
调用被允许或拒绝。如果允许,将返回有关所有实例的信息
该页面不显示API调用的任何条件,因此无法制定仅允许指定了特定筛选器/实例ID的请求的策略
ec2:ResourceTag
条件只能用于页面上显示的API调用,其中ec2:ResourceTag
在Conditions列中提到
如果您希望以这种方式隔离信息,那么您需要使用单独的AWS帐户,或者您需要创建一个“信息层”,它可以应用详细规则并代表您的用户进行信息API调用,只传递回允许的信息。您所说的“拒绝访问”是什么意思?具体来说,您希望拒绝他们做什么?我希望Josh用户不会使用aws控制台在实例列表中看到带有“Type:MyInstance”标记的ec2实例。或者至少,Josh用户不应该看到此类实例的详细信息(公共ip、实例id等)。