Я попытался предоставить политику, следуя приведенным здесь примерам: https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-examples.html
Но я получаю предупреждение, и оно не работает.
Это все, что я пробовал до сих пор:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowStartSessionExceptProd",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": "*",
"Condition": {
"StringNotLike": {
"ssm:resourceTag/environment": [
"prod",
"Prod"
]
}
}
}
]
}
Или
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowStartSessionExceptProd",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"arn:aws:ec2:*:*:instance": [
"i-myInstanceId1",
"i-myInstanceId2"
]
}
}
}
]
}
Или даже я пытался использовать более ресурсоемкие условия.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowStartSessionExceptProd",
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": "*",
"Condition": {
"StringNotLike": {
"ssm:resourceTag/environment": [
"prod",
"Prod"
],
"arn:aws:ec2:*:*:resourceTag/environment": [
"prod",
"Prod"
],
"ec2:resourceTag/environment": [
"prod",
"Prod"
]
}
}
}
]
}
В общем, все, что я хочу сделать, это разрешитьдоступ к запуску сеанса в SSM на серверах, которые не являются прод-серверами.Все мои серверы EC2 prod имеют тег environment:prod
Я получаю сообщение об ошибке для каждого условия, которое не работает: There are no actions in your policy that support this condition key.
Пример:
ec2:resourceTag /environment (StringNotLike prod and Prod)
There are no actions in your policy that support this condition key.
Я ценю любую помощь.