我正在创建一个Crossaccount角色,以在多个AWS账户之间分配。目标是允许我的一个lambda承担此Crossaccount角色,并在目标帐户中创建CFN堆栈。
为了允许删除堆栈,我需要向该角色分配诸如 ec2:TerminateInstances 之类的操作。但是我不想允许对所有资源“ *”进行操作。如何只允许对具有特定标签的资源执行此操作?
我尝试了以下政策条件,但它不起作用。尝试删除堆栈时,我在 ec2:TerminateInstances 操作中遇到了未经授权的错误。
- Effect: "Allow"
action:
- "ec2:TerminateInstances"
Resource: "*"
Condition:
StringEquals:
aws:RequestTag/Usage: TestOnlyTag
我在正确的轨道上吗?
请注意,在创建堆栈之前,需要将此角色部署到目标帐户中。因此,无法在此处指定Instance-Id。