特定のユーザロールが、どのVPCのパブリックサブネットでもEC2インスタンスアクションを実行するのを制限する必要があります。サブネットタグを活用してこれを達成する方法はありますか?私は以下のコードスニペットのようなEC2リソースへのアクセスを制御するためにEC2リソースタグを使用する方法を知っていますが、私の場合はvpcやサブネットタグをベースにする必要があります。私が利用できるvpc:ResourceTagのようなものがありますか?サブネット名タグに基づいてAmazon EC2リソースへのアクセスを制御するIAMポリシーを作成するにはどうすればよいですか?
{
"Effect" : "Allow",
"Action" : "ec2:*",
"Resource" : "*",
"Condition" : {
"StringEquals" : {
"ec2:ResourceTag/UserName" : "${aws:username}"
}
私のラベルされたパブリックサブネットにインスタンスを起動することができませんでしたパブリックサブネットでEC2インスタンスを作成することができます。現在、すべてのサブネットに、次のようにサブネットがパブリックかプライベートかを示す名前タグがあります。subnet-CIDR-REGION-Type(例10.0.4.0-ap-southeast-2-Public) – gbaz
StringEqualsをStringLike、 "critical"をタグの名前に変更し、publicで終わる値を使用します。値ではなくタグサブネット-CIDR-Region-typeに名前を付ける場合、これは機能しません。 – chris