Amazon web services AWS IAM：如何使用全局条件键创建条件_Amazon Web Services_Amazon Iam

Amazon web services AWS IAM：如何使用全局条件键创建条件

amazon-web-services

Amazon web services AWS IAM：如何使用全局条件键创建条件,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我想创建一个策略，这样用户只能创建名为test key pair*的EC2密钥对，而不能创建任何其他名称的密钥对。但看起来没有这样的办法事实上，当我使用EC2:CreateKeyPair操作创建策略时，它显示了您选择的支持所有资源的操作。但我确实想设定一些限制。因此，我单击requestconditions，它显示一些全局条件键的列表，例如aws:TagKeys。我为EC2创建了以下条件：CreateKeyPair。我的理解是，在这种情况下，当用户创建密钥对时，只有同时设置tag key C

我想创建一个策略，这样用户只能创建名为test key pair*的EC2密钥对，而不能创建任何其他名称的密钥对。但看起来没有这样的办法

事实上，当我使用EC2:CreateKeyPair操作创建策略时，它显示了您选择的支持所有资源的操作。但我确实想设定一些限制。因此，我单击requestconditions，它显示一些全局条件键的列表，例如aws:TagKeys。我为EC2创建了以下条件：CreateKeyPair。我的理解是，在这种情况下，当用户创建密钥对时，只有同时设置tag key CostCenter和tag key Department，他才能创建密钥对，否则，他不能

然而，这种情况根本不起作用。用户可以创建密钥对，而无需设置任何标记密钥。所以我不知道如何使用全局条件键。我知道如何使用与服务相关的条件。此外，我不明白对于密钥对之类的资源，为什么不允许我限制使用诸如：test key pair*

"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": "ec2:CreateKeyPair",
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringEquals": {
                "aws:TagKeys": [
                    "CostCenter",
                    "Department"
                ]
            }
        }
    }

以下是全局条件键的链接：

标记不能与密钥对关联

我尝试了一些条件，但无法将操作限制为特定的键名

因此，看起来不能基于密钥名限制密钥对的创建

一些备选方案：

用于使用规则来调配资源创建某种形式的“前端”，代表他们创建密钥对，遵循某些规则可以是应用程序，也可以使用Lambda

请您用文字说明您希望在Amazon Athena中为用户授予/拒绝哪些权限？John Rotenstein：谢谢您的回答，我的问题不是关于Athena，而是关于如何使用条件限制权限以及如何使用标记键。为了让我的问题更清楚，我重写了原来的帖子。嗨，约翰·罗滕斯坦，谢谢你的尝试和回答。我将尝试AWS服务目录。很高兴知道这一点。