amazon-web-services - AWS IAM 政策 - 限制 VPC 租赁
问题描述
要求:限制 IAM 用户创建具有专用租户的 VPC 。IAM 用户应该只能使用默认租期创建 VPC 。
IAM 用户附加的 IAM 策略:
{
"Sid": "limitedTenancyVpc",
"Effect": "Deny",
"Action": "ec2:CreateVpc",
"Resource": "arn:aws:ec2:*:*:vpc/*",
"Condition": {
"ForAnyValue:StringNotLike": {
"ec2:Tenancy": [
"default"
]
}
}
}
我知道 VPC InstanceTenancy是要使用的关键字。我尝试过使用它,但它不起作用。附加此策略的 IAM 用户能够创建具有专用租赁的 VPC 。
请建议。
解决方案
无法对此进行限制,因为没有与 ec2:CreateVPC 操作关联的条件。请参阅可用EC2 条件键的列表。
但是,ec2:tenancy条件可用于 ec2:runInstances。因此,您可以改为拒绝使用专用租赁作为护栏来启动实例的请求。
有 3 种不同的租户类型:默认、专用和主机。如果租户设置为主机或专用,则拒绝请求。
{
"Sid": "limitedTenancyVpc",
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"ec2:Tenancy": [
"host",
"dedicated"
]
}
}
}
推荐阅读
- sql - 完成的 COMMIT 语句是否意味着它已完成提交?
- ionic-framework - 错误:共享组件中的 StaticInjectorError HttpClient
- matlab - 我需要帮助找到导数吗?
- ruby-on-rails - 如何从数组中删除空哈希
- rust - 如果没有实现 Copy 或 Clone 特征,那么重用借用的结构字段的最佳方法是什么?
- reporting-services - 在 ssrs 的表达式中添加换行符 (vbcrlf) 时如何删除默认限定符 (") 而无需触及 reportserverconfig 文件?
- excel - 过滤数据的 Excel Sumproduct
- python - 多页表格的写入/打印表格内容
- javascript - 如何在点击时交换图像?
- github - Github 操作和徽章显示百分比数据