我阻止用户基于某些标记对aws资源执行某些操作。但他们扮演某些角色,更改这些标签,然后执行被禁止的操作。如何禁止这些角色不能更改这些标签?tag:UntagResources浮现在脑海中,但这太宽泛了。有什么建议吗?
如您所见:https://docs.aws.amazon.com/ARG/latest/userguide/tag-policies-prereqs.html
删除标记。您还需要特定于服务的权限才能删除标记。例如,要卸载AmazonEC2中的资源,您需要EC2:DeleteTags 的权限
因此,这可能是对特定服务的资源添加此限制的好方法