我们有一个如下所示的 iam 角色:
{
"Effect": "Deny",
"Action": [
"ec2:DeleteNetworkInterface"
],
"Condition": {
"StringLike": {
"ec2:ResourceTag/Name": [
"krishnakumar*"
]
}
},
"Resource": [
"*"
]
}
当我将其附加到用户时,我能够删除所有 enis(如果 eni 标签名称是 krishnakumar-test,则无关紧要。但是,当我们将"StringLike"更改为"ForAllValues:StringLike"时,它不允许我删除任何eni(krishnakumar-test和test-eni)。我已经删除了"*"并尝试了但没有运气
有人可以帮助我为什么失败吗?
"ec2:DeleteNetworkInterface"不支持资源级别权限。这意味着您只能控制它对所有资源的使用或没有资源的使用 - 它要么打开,要么关闭,不能限制为特定的资源子集。
有关说明,请参阅文档。