3

New-EC2Tag を実行しようとすると、次のエラーが発生します。

New-EC2Tag : You are not authorized to perform this operation.

ユーザー ポリシーは次のとおりです。

{
    "Version": "2012-10-17",
    "Statement": [
    {
        "Effect": "Allow",
        "Action": ["ec2:DescribeInstances","ec2:CreateTags"],
        "Resource": "arn:aws:ec2:ap-southeast-2:<my_account_id>:instance/*",
        "Condition": {
            "StringEquals": {
                "ec2:ResourceTag/OctopusTentacle": "yes"
            }
        }
    }
    ]
}

上記のように、Policy Simulator で問題なく動作します。

条件を削除して Resource を * に設定すると、機能します。条件を削除したり、リソースを * に設定したりするだけでは機能しません。これをインスタンスのローカル管理者として実行しています。

アクセスを許可する必要がある New-EC2Tag のアクセス/実行は他に何ですか?

4

1 に答える 1

2

New-EC2TagをクリアしてConditionをワイルドカード化するときに機能する場合Resourceは、それらの両方を検査する必要があります。

調査によると、New-EC2Tagの関連する API アクションはCreateTagsです。Amazon EC2 API アクションでサポートされているリソースと条件 によると、一部の API アクションは ARN をサポートしていません。CreateTags代わりにリソース ID を指定するように要求するため、これは の場合のようです。これは、上でリンクした「サポートされているリソース...」ドキュメントでも裏付けられています。

この場合、ドキュメントではポリシーを次のように設定することを推奨しています。

API アクションが ARN をサポートしていない場合は、* ワイルドカードを使用して、すべてのリソースがアクションの影響を受ける可能性があることを指定します。

というわけで状態はそのまま…タグ。ポリシーを期待どおりに適用するには、条件として使用しているタグがインスタンスにすでに存在している必要があります。タグがすでに存在するポリシー シミュレーターの例:

DescribeTags と DescribeInstances が許可されています。

もう1つの考慮事項は、アクションが同様に条件をサポートしていない可能性があることですが、それを裏付けるものは見つかりませんでした.

于 2014-05-01T14:28:02.380 に答える