我正在尝试编写一个IAM策略,该策略将控制对EC2实例的访问。所有EC2实例都将有一个名为username的自定义标记,只有当标记值与登录用户的用户名匹配时,该用户才能访问该EC2实例。这就是我想到的:
{
"Version": "2012-10-12",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/username": "arn:aws:iam::account-number-without-hyphens:user/username1"
}
}
}
]
}
我相信你看到了这里的问题。我不想硬编码右边的用户名值。我希望能够在运行时或策略评估时获得这些信息。
有可能这样做吗?
IAM用户可以由${aws:username}在策略文档中引用。
此处列出了其他IAM策略变量及其用途:
http://docs.aws.amazon.com/IAM/latest/UserGuide/PolicyVariables.html