爲什麼將條件應用於ec2：IAM策略中的DescribeInstances失敗？

Question

嘗試配置該實例可以使用策略上市，我此話了以下問題：

• 當不落實的情況，所有實例都可見。
• 當任何條件實施時，什麼都看不見。

與條件下的策略示例包括：

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Stmt1461235889000", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:DescribeInstances" 
      ], 
      "Resource": [ 
       "*" 
      ], 
      "Condition": { 
       "StringEquals": { 
        "ec2:InstanceType": "r3.xlarge" 
       } 
      } 
     } 
    ] 
} 

這裏有什麼問題？

Answer 1

ec2:DescribeInstances動作does not support resource-level permissions或應用條件。

從上面的鏈接文檔：

...在一個IAM策略中使用這些操作，您必須授予用戶通過使用通配符*用於在資源要素利用一切資源，爲操作的權限你的陳述。 您無法將Amazon EC2條件密鑰用於這些操作。

所以你沒有條件通配符*的使用是有效的，但應用的任何條件（在本文寫作）預期將不幸的是沒有工作。

進一步閱讀：

• Supported Resource-Level Permissions for Amazon EC2 API Actions