Я пытаюсь ограничить запуск экземпляра c1.medium только для EC2-classic. Мое требование:
- c1.medium не может быть запущен в VPC
- c1.medium может быть запущен только в ec2-classic
- Нет ограничений на другие типыслучаев.
Для достижения этого я использую условный элемент ec2: InstaceType и ec2: vpc. Я создал следующую политику и прикрепил ее к пользователю
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "*",
"Condition": {
"ArnEqualsIfExists": {
"ec2:vpc": "arn:aws:ec2:*:*:vpc/vpc-*"
},
"Null":{
"ec2:vpc" : "true"
},
"StringEquals": {
"ec2:InstanceType": [
"c1.medium"
]
}
}
}
]
}
Прилагается еще одна политика, которая предоставляет пользователю ec2: *.
Над политикой должно работать. По моему мнению, ec2: vpc должен возвращать False при запуске экземпляра в Ec2-classic, что делает логику условного блока ложной.
Но вышеописанное поведение не наблюдается. Его блокировка для vpc и Ec2-classic