У меня есть следующая политика scp, прикрепленная к моей учетной записи, чтобы заблокировать создание экземпляра rds, у которого нет тега проекта.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DenyCreateDBInstanceNoProjectTag",
"Effect": "Deny",
"Action": "rds:CreateDBInstance",
"Resource": "arn:aws:rds:*:*:db:*",
"Condition": {
"Null": {
"aws:RequestTag/Project": "true"
}
}
}
]
}
Однако, когда я создаю экземпляр RDS с тегом Project, я получаю ошибку "Отказано в доступе", совпадений не найдено: [Key = Project].
aws rds create-db-instance \
--allocated-storage 20 --db-instance-class db.m1.small \
--db-instance-identifier mydbinstance \
--engine mysql \
--enable-cloudwatch-logs-exports '["audit","error","general","slowquery"]' \
--master-username ***** \
--master-user-password *****
--tags [{"Key"="Project","Value"="test"}]
An error occurred (AccessDenied) when calling the CreateDBInstance operation: User: arn:aws:sts::*********:assumed-role/*****/****** is not authorized to perform: rds:CreateDBInstance on resource: arn:aws:rds:******:*********:db:mydbinstance with an explicit deny
exit status 254
zsh: no matches found: [Key=Project]