У меня есть политика IAM, которая позволяет завершать экземпляры, отсоединять диски, только если у них есть специальный тег.Однако у этой политики также есть разрешения на создание тегов, запуск экземпляров.Так как эта политика применяется к профилю экземпляра для автоматизации.Из соображений безопасности я хочу ограничить разрешения createTags, поэтому я добавил в политику
{"Sid": "VisualEditor0", "Effect": "Allow", "Action": "ec2:CreateTags "," Resource ":" * "," Condition ": {" StringEquals ": {" ec2: CreateAction ": [" CreateVolume "," CreateSecurityGroup "," CreateNetworkInterface "," CreateSnapshot "," RunInstances "]}}}
экземпляр, который выполняет эту роль, развертывает компьютеры с использованием облачной информации - однако я получаю Client.UnauthorizedOperation во время развертывания CFT.кажется, что CFT добавляет теги после того, как ресурс был создан, и это нарушение.Я попытался добавить sourceIp cloudformation.amazonaws.com, но у меня возникли ошибки при проверке политики.Есть ли способ ограничить createTags конкретным источником вызывающего абонента - какой идентификатор CFT?Есть ли способ заставить ЦФТ создавать теги при создании?