我使用下面的策略来阻止特定用户注销AMI映像,但它不起作用。我认为我已经给出了正确的区域和AMI。
"Version": "2012-10-17",
"Statement":
{
"Action": "ec2:DeregisterImage*",
"Effect": "Deny",
"Resource": "arn:aws:ec2:region::image/image id"
}
这是一个延迟回复,但对于想知道问题是什么的人来说:许多EC2操作不支持基于资源的权限。这意味着你必须写"*"作为资源,否则策略将不会有任何效果。取消注册图像就是其中之一:
https://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html#ec2-api不支持的资源权限