Question

Требование: Чтобы запретить пользователю IAM создавать VPC с выделенным арендатором .Пользователь IAM должен иметь возможность создавать VPC только с арендой по умолчанию .

Политика IAM прилагается к пользователю IAM:

    {
        "Sid": "limitedTenancyVpc",
        "Effect": "Deny",
        "Action": "ec2:CreateVpc",
        "Resource": "arn:aws:ec2:*:*:vpc/*",
        "Condition": {
            "ForAnyValue:StringNotLike": {
                "ec2:Tenancy": [
                    "default"
                ]
            }
        }
    }

Я знаю, чтодля VPC InstanceTenancy - ключевое слово, которое будет использоваться.Я попытался с этим в состоянии, однако это не работает.Пользователь IAM с этой политикой может создавать VPC с выделенным арендатором .

Пожалуйста, предложите.

erhanux · Answer 1 · 27 сентября 2019

Ограничить это невозможно, поскольку с ec2 не связано условие: действие CreateVPC.См. Список доступных ключей условий EC2 .

Однако для ec2: runInstances доступно условие ec2: аренда .Таким образом, вместо этого вы можете отклонить запросы на запуск экземпляров с выделенным арендатором в качестве ограждения.

Существует 3 различных типа аренды: по умолчанию, выделенный и хост.Запретить запросы, если для аренды задан хост или выделенный.

{
    "Sid": "limitedTenancyVpc",
    "Effect": "Deny",
    "Action": "ec2:RunInstances",
    "Resource": "*",
    "Condition": {
        "ForAnyValue:StringEquals": {
            "ec2:Tenancy": [
                "host", 
                "dedicated"
            ]
        }
    }
}

Политика AWS IAM - ограничение аренды VPC

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Политика AWS IAM - ограничение аренды VPC

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы