基于标签限制用户的 IAM 自定义策略中的错误

Question

我创建了一个custom IAM policy 来根据标签限制用户访问，例如如果Resource tag Name 具有任何值 Test 然后用户可以start stop reboot 实例。

这是我的政策：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TheseActionsDontSupportResourceLevelPermissions",
            "Effect": "Allow",
            "Action": ["ec2:Describe*"],
            "Resource": "*"
        },
        {
            "Sid": "TheseActionsSupportResourceLevelPermissionsWithTags",
            "Effect": "Allow",
            "Action": [
                "ec2:TerminateInstances",
                "ec2:StopInstances",
                "ec2:StartInstances"
            ],
            "Resource": "arn:aws:ec2:us-east-1:acct_no:instance/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "ec2:ResourceTag/Name": "Test"
                }
            }
        }
    ]
}

但是当我应用该策略时，用户无法执行指定的操作。

请帮忙。

谢谢

Answer 1

ForAnyValue 对于您的 Amazon IAM 用例来说是不合适的 condition，因为它仅适用于集合（有关详细信息，请参阅 Creating a Condition That Tests Multiple Key Values (Set Operations)） - 只需删除 ForAnyValue: 前缀应该会产生一个有效的策略，请参阅例如Resource-level Permissions for EC2 – Controlling Management Access on Specific Instances中的例子：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",      
        "ec2:RebootInstances",
        "ec2:TerminateInstances"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/critical":"true"
        }
      },
      "Resource": [
        "arn:aws:ec2:your_region:your_account_ID:instance/*"
      ],
      "Effect": "Allow"
    }
  ]
}