AWS EC2 IAM条件

Question

我试图更新IAM策略，将其限制在单个区域，但我有一个语法错误，似乎无法解决。

以下是策略的JSON：

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Action":[
            "ec2:*"
         ],
         "Resource":[
            "*"
         ],
         "Effect":"Allow",
         "Condition":{
            "condition":{
               "StringEquals":{
                  "ec2:Region":"us-east-1"
               }
            }
         }
      }
   ]
}

是条件引起了这个问题，但我似乎不太清楚我哪里出了问题。我尝试过使用AWS策略构建器来生成它，但是当我尝试通过它创建它时，它仍然给了我一个语法错误，所以我猜这是一个语法问题。

我所要做的就是把这个政策限制在美国东部的EC2业务上。

我用这个命令上传它

aws iam put-group-policy  --group-name eastern-contractors --policy-document file://ec2.json --policy-name ec2

我得到了以下回应

调用MalformedPolicyDocument操作时发生客户端错误( PutGroupPolicy )：此策略中存在无效条件。

我试过在这个站点上使用类似的答案，比如AWS IAM Permissions for EC2 – Controlling Access on Specific Instances with particular region，但是它似乎不起作用。

Answer 1

这是工作方针

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1410456206000",
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:Region": "us-east-1"
        }
      },
      "Resource": [
        "*"
      ]
    }
  ]
}

嵌套的“条件”是问题所在。