AWS IAM - запретить определенные действия EC2 на основе тегов ресурсов?

Question

Я пытаюсь создать политику IAM, которая разрешает любое действие EC2, если у ресурса есть определенный тег ресурса (Разработка), но запрещает, если у тега другое значение (Производство).Вот что у меня есть.

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": "ec2:Describe*",
        "Resource": "*"
    },
    {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": "ec2:*",
        "Resource": "*",
        "Condition": {
            "ForAllValues:StringEquals": {
                "ec2:ResourceTag/Environment": "Development"
            }
        }
    },
    {
        "Sid": "VisualEditor2",
        "Effect": "Deny",
        "Action": "ec2:*",
        "Resource": "*",
        "Condition": {
            "ForAnyValue:StringEquals": {
                "ec2:ResourceTag/Environment": "Production"
            }
        }
    }

]}

У меня есть AMI с тегом ресурса «Среда» и значением «Производство», но мне все же разрешено отменить его регистрацию без проблем.Что я делаю не так?

С уважением

Answer 1

Действие ec2:DeregisterImage в настоящее время не поддерживает ec2:ResourceTag/${TagKey}.

См. Определенные действия для EC2 , которые предоставляют список условий, поддерживаемых для действий EC2.