Может ли кто-нибудь объяснить, почему Роли были спроектированы AWS, чтобы иметь Принципала, подобного всей услуге (EC2, Lambda et c.), Т.е. без возможности ассоциировать / ограничивать, чтобы быть предполагаемым конкретным c EC2-экземпляром тип или специфицируемая c лямбда-функция - я пропускаю здесь ключевую AWS концепцию дизайна?
Если я хочу ограничить конкретную роль, которая может быть принята только экземплярами t2.micro EC2 (и никакими другими Тип семейства экземпляров EC2), это достижимо в AWS? Если это можно сделать, то в какую политику разрешений будет записано это ограничение?
Попытка добавления приведенного ниже раздела Условие к политике роли «Доверенная идентификация», но это не работает, т.е. пример других типов экземпляра t2.large также возможность выполнять действия, например, создать корзину (используя CLI).
"Condition": {
"StringEquals": {
"ec2:InstanceType": [
"t2.micro"
]} }