2016-04-21 54 views
2

嘗試配置該實例可以使用策略上市,我此話了以下問題:爲什麼將條件應用於ec2:IAM策略中的DescribeInstances失敗?

  • 當不落實的情況,所有實例都可見。
  • 當任何條件實施時,什麼都看不見。

與條件下的策略示例包括:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Stmt1461235889000", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:DescribeInstances" 
      ], 
      "Resource": [ 
       "*" 
      ], 
      "Condition": { 
       "StringEquals": { 
        "ec2:InstanceType": "r3.xlarge" 
       } 
      } 
     } 
    ] 
} 

這裏有什麼問題?

回答

4

ec2:DescribeInstances動作does not support resource-level permissions或應用條件。

從上面的鏈接文檔:

...在一個IAM策略中使用這些操作,您必須授予用戶通過使用通配符*用於在資源要素利用一切資源,爲操作的權限你的陳述。 您無法將Amazon EC2條件密鑰用於這些操作。

所以你沒有條件通配符*的使用是有效的,但應用的任何條件(在本文寫作)預期將不幸的是沒有工作。

進一步閱讀: