如果不包含4个必需标记,我有一个拒绝ec2 runinstance的iam策略。
我们的模型是用户>组> STS承担角色。所有EC2配置都由许多角色完成。
我是否必须手动将此策略附加到每个角色,或AWS是否支持全局策略功能?在我们所有帐户中部署此iam政策的最简单方法是什么?
答案 0 :(得分:3)
'我的组织'是控制台中帐户下拉菜单的一个选项。从那里可以直接添加全局策略。添加您的JSON模板以拒绝访问具有ec2:ResourceTag条件的EC2:RunInstances权限。
拒绝策略优先于您在帐户角色中指定的任何允许策略。