Я хочу создать политику, чтобы пользователь мог создавать только пару ключей EC2 с именем «test-key-pair *», но не пару ключей с любым другим именем. но похоже, что нет такого пути.
Фактически, когда я создаю политику с действием EC2: CreateKeyPair, он показывает «действие, которое вы выбираете, поддерживает все ресурсы». но я хочу установить некоторые ограничения. Поэтому я нажимаю «Условия запроса», в которых отображается список некоторых «глобальных ключей условий», таких как aws: TagKeys.
И я создал следующие условия для EC2: CreateKeyPair. Насколько я понимаю, с этим условием, когда пользователь создает пару ключей, только если он установил оба ключа тега CostCenter и тег ключа ключа Department, он может создать пару ключей, в противном случае он не сможет.
Однако это условие вообще не работает. пользователь может создать пару ключей без установки ключа тега. поэтому я не знаю, как использовать «глобальные ключи условия». Я знаю, как использовать условия обслуживания пользователей.
кроме того, я не понимаю для ресурсов, таких как пара ключей, почему мне не разрешено ограничивать ресурсы, используя такие как: test-key-pair *,
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ec2:CreateKeyPair",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"CostCenter",
"Department"
]
}
}
}
Вот ссылка глобальных ключей условия:
https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#AvailableKeys.