У меня заканчиваются идеи, я пытаюсь контролировать, можно ли выполнить действие на основе тегов ресурсов.
В основном я хочу дать разрешения на удаление объектов для корзины s3 и облачной трассы. «Прекратить запись», только если тег существует. Моя политика выглядит следующим образом:
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::bucket/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/MyTag": "Yes"
}
}
}
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"cloudtrail:StopLogging"
],
"Resource": "arn:aws:cloudtrail....",
"Condition": {
"StringEquals": {
"aws:ResourceTag/MyTag": "Yes"
}
}
}
Я пробовал несколько решений, например cloudtrail: ResourceTag, но ничего не работает. когда я удаляю условие - я больше не получаю отказано в доступе.
Что мне не хватает?
== РЕДАКТИРОВАТЬ ==
, так как нет ответов, я изменил направление. роль помечена моим тегом, и я использую это в политике:
{
"Sid": "policy",
"Action": [
"cloudtrail:StopLogging"
],
"Resource": "........."
"Condition": {
"StringEquals": {
"aws:PrincipalTag/MyTag": "Yes"
}
},
"Effect": "Allow"
}