AWS IAM - EC2 - ограничить доступ к указанной c подсети

Question

Я пытаюсь создать политику, чтобы ограничить пользователей только для запуска экземпляров в определенном su bnet, но следующее не работает (анонимизация идентификатора учетной записи, Su bnet ID и SID)

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "SID",
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeImages",
            "ec2:DescribeInstances",
            "ec2:DescribeTags",
            "ec2:StartInstances",
            "ec2:StopInstances"
        ],
        "Resource": [
            "arn:aws:ec2:eu-west-1:ACCOUNT NUMBER:subnet/subnet-id",
            "arn:aws:ec2:eu-west-1:ACCOUNT NUMBER::network-interface/*",
            "arn:aws:ec2:eu-west-1:ACCOUNT NUMBER::instance/*",
            "arn:aws:ec2:eu-west-1:ACCOUNT NUMBER::volume/*",
            "arn:aws:ec2:eu-west-1:ACCOUNT NUMBER::image/ami-*",
            "arn:aws:ec2:eu-west-1:ACCOUNT NUMBER::key-pair/*",
            "arn:aws:ec2:eu-west-1:ACCOUNT NUMBER::security-group/*"
        ]
    }
]

}

ТАКЖЕ я пробовал это, которое также не работает

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "SID",
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeImages",
            "ec2:DescribeInstances",
            "ec2:DescribeTags",
            "ec2:StartInstances",
            "ec2:StopInstances"
        ],
        "Condition": {
            "StringEquals": {
                "ec2:subnet": "subnet-id"
            }
        },
        "Resource": [
            "*"
        ]
    }
]

}

Буду признателен за любые комментарии, спасибо!

Answer 1

AWS задокументировал это, пожалуйста, обратитесь: https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_examples_ec2_instances-subnet.html