我对策略变量"${aws:username}"感到困惑,即它是我登录AWS账户的IAM用户名还是 是我在创建实例时在标签中手动输入的标签值吗?
实际上,我想实现只有ec2实例的所有者才能执行操作,而其他应该被拒绝。 以下政策应该有效吗?
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Owner": "${aws:username}"
}
}
}
]
}
当 IAM
评估策略时,策略变量 ${aws:username} 将替换为当前 IAM 用户的友好名称。
https://aws.amazon.com/premiumsupport/knowledge-center/iam-ec2-resource-tags/
您的策略应该有效。