基于密钥对名称在资源上创建条件

Question

我正在尝试根据实例上密钥对名称的使用来限制修改实例的能力。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances",
                "ec2:TerminateInstances"
            ],
            "Condition": {
                "StringEquals": {
                    "arn:aws:ec2:us-east-1:ACCTNUMBER:key-pair": “keyPairName" 
                }
            },
            "Resource": "arn:aws:ec2:us-east-1:ACCTNUMBER:instance/*",
            "Effect": "Allow"
        }
    ]
}

但由于某些原因，这并不起作用。有人能提供一个如何做到这一点的简单示例吗？或者更好的是，这是可能的吗？

Answer 1

向aws策略提供密钥对的语法如下：

arn:aws:ec2:region:account-id:key-pair/key-pair-name

尝试将您的策略更改为使用以下语法，也许它会起到作用。有关arn语法的更多信息可以在以下链接中找到- http://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html

此外，请尝试使用策略生成器，并验证策略，这在这些情况下也很有帮助。祝好运。

Answer 2

在更多的研究之后更新。根据Yodan的建议，我查看了策略生成器。

简短的回答是:不可能。使用策略生成器，我获得了ec2资源的可能条件键列表。Condition Keys in Policy Generator

不过，如果能有一个密钥对条件就好了。