IAM 사용자가 EC2 인스턴스를 특정 VPC로 시작하지 못하도록 차단하는 정책

Question

이 정책을 사용하여 사용자가 인스턴스를 지정된 VPC로 시작하지 못하도록 제한하려고합니다. 그러나 나는 여전히 인스턴스를 시작할 수 있습니다! 이 정책이 효과가없는 이유는 무엇입니까? 물론, 자원 자원 ":"ARN : AWS : EC2 ::: VPC // VPC-XYZ 내 생산 템플릿

"Statement": [ 
    { 
     "Action": [ 
      "ec2:Run*", 
      "ec2:Terminate*", 
      "ec2:Cancel*", 
      "ec2:Create*", 
      "ec2:Delete*", 
      "ec2:Modify*", 
      "ec2:Start*", 
      "ec2:Stop*" 
     ], 
     "Resource": "arn:aws:ec2:<REGION>:<ACCOUNT-ID>:vpc/<VPC-ID>/vpc-xyz", 
     "Effect": "Deny", 
     "Sid": "DenyInstanceActionsForVPC" 
    }, 
    { 
     "Condition": { 
      "StringEquals": { 
       "ec2:ResourceTag/Project": [ 
        "Cloud Services", 
        "MDH", 
        "Shine" 
       ] 
      } 
     }, 
     "Action": [ 
      "ec2:Run*", 
      "ec2:Terminate*", 
      "ec2:Cancel*", 
      "ec2:Create*", 
      "ec2:Delete*", 
      "ec2:Modify*", 
      "ec2:Start*", 
      "ec2:Stop*" 
     ], 
     "Resource": "*", 
     "Effect": "Deny", 
     "Sid": "DenyInstanceActionsForCStaggedResources" 
    } 
] 

}

Answer 1

첫 번째 항목에서 실제 값을 가지고있다. 귀하의 정책에 허락이 없습니다. 그러므로 아무 것도 할 수 없어야합니다. 이 문제를 먼저 해결하십시오.

다음과 같이 귀하의 첫 번째 문을 수정

{ 
    "Sid": "DenyInstanceActionsForVPC", 
    "Effect": "Deny", 
    "Action": [ 
     "ec2:Run*", 
     "ec2:Terminate*", 
     "ec2:Cancel*", 
     "ec2:Create*", 
     "ec2:Delete*", 
     "ec2:Modify*", 
     "ec2:Start*", 
     "ec2:Stop*" 
    ], 
    "Resource": "arn:aws:ec2:REGION:ACCOUNTNUMBER:subnet/*", 
    "Condition": { 
     "StringEquals": { 
      "ec2:vpc": "arn:aws:ec2:REGION:ACCOUNTNUMBER:vpc/VPC-ID" 
     } 
    } 
},