Amazon web services 如何确定ResourceTag命名空间(ec2:ResourceTag vs aws:ResourceTag vs iam:ResourceTag)
我最近一直在使用资源标记编写IAM策略,下面是一个示例Amazon web services 如何确定ResourceTag命名空间(ec2:ResourceTag vs aws:ResourceTag vs iam:ResourceTag),amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我最近一直在使用资源标记编写IAM策略,下面是一个示例 { “版本”:“2012-10-17”, “声明”:[ { “效果”:“允许”, “行动”:“*”, “资源”:“*”, “条件”:{ “StringEquals”:{ “aws:ResourceTag/team”:“${aws:PrincipalTag/team}”, “aws:ResourceTag/environment”:“${aws:PrincipalTag/environment}” } } } ] } 但是,这不允许传递角色
{
“版本”:“2012-10-17”,
“声明”:[
{
“效果”:“允许”,
“行动”:“*”,
“资源”:“*”,
“条件”:{
“StringEquals”:{
“aws:ResourceTag/team”:“${aws:PrincipalTag/team}”,
“aws:ResourceTag/environment”:“${aws:PrincipalTag/environment}”
}
}
}
]
}
但是,这不允许传递角色(即使它们被标记),因为这是iam:ResourceTag
而不是aws:ResourceTag
。如何确定服务是否使用ec2:ResourceTags
、aws:ResourceTags
或iam:ResourceTags
例如,我正在标记一个Cloudformation堆栈,无法确定此标记类型是ec2:ResourceTag
还是aws:ResourceTag
。通过反复试验,我发现它是aws:ResourceTag
此外,是否有办法将所有这些标记包括在我的IAM策略中(如*:ResourceTags
)?属于AWS全局条件上下文键(AWS
前缀)。要检查哪些服务支持此密钥,您可以检查感兴趣的服务中的基于标签的授权
或者是服务特定条件键,在这种情况下分别是iam
和ec2
。您可以在中检查每个服务的所有受支持密钥