AWS Instance Connect с условием тега ресурса

Question

Я пытаюсь ограничить s sh доступ к экземплярам ec2, используя условие тега ресурса в моей политике подключения экземпляра. В общем, у меня есть что-то вроде этого:

{
    "Version": "2012-10-17",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "ec2-instance-connect:SendSSHPublicKey",
        "Resource": "arn:aws:ec2:*:*:instance/*",,
        "Condition": {
            "StringEquals": {"ec2:ResourceTag/Squad": "blah"}
        }
      },
      {
        "Effect": "Allow",
        "Action": "ec2:DescribeInstances",
        "Resource": "*"
      }
    ]
}

Однако, похоже, это не работает. Разве экземпляр соединения не может использовать условие ec2:ResourceTag? Я видел, как это работает с условием типа ec2:osuser, поэтому мне интересно, есть ли ограничение, или я делаю что-то не так.

Answer 1

Я думаю, что политика IAM не может ограничить доступ sh. Я не уверен, но я не слышал, чтобы кто-то из правил IAM ограничивал S SH. Я думаю, что это должно быть установлено в вашем экземпляре EC2.