AWS IAM策略权限冲突问题

Question

我试图制定一项政策，以防止非盟驻苏特派团的注销登记，除非非盟驻苏特派团有适当的“删除此”标签。当我运行IAM策略模拟器时，该策略似乎不起作用，并且允许取消AMI注册，因为用户已经与比我的新策略更宽松的策略相关联。

是否有可能使我的自定义策略优先于其他策略？还是必须创建显式不具有取消注册AMI权限的新策略？

Answer 1

以下IAM策略将拒绝在AMI没有“删除”标记或该标记的值不是"yes“时取消AMI的注册(只需使用具体的资源ARN替换)。无论调用标识可能具有何种可能的允许权限，此操作都是有效的。

这是因为带有“拒绝”操作的权限语句总是优先于任何允许权限。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": "ec2:DeregisterImage",
      "Resource": "arn:aws:ec2:*::image/*",
      "Condition": {
        "StringNotEquals": {
          "aws:ResourceTag/delete": "yes"
        }
      }
    }
  ]
}

阅读此页面以获得IAM用于评估权限的详细算法：https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html