如何在AWS中给予基于标签的IAM用户组访问权限？

Question

这个问题是针对AWS的，我正在寻找要创建的cutom策略。我有一个名为IOT的组，很少有实例被标记为IOT(关键是环境，值是IOT)。我希望满足两个要求。

1-我希望创建策略，允许任何作为IOT组成员的用户只能启动/停止/重新启动实例，这些实例被标记为IOT。

2-同时，IOT组中的任何用户都应该能够终止(仅限于IOT实例)并创建新实例(仅用于IOT )。IOT、Prod和QA实例有不同的安全组。

问候

Answer 1

首先阅读，限制用户在EC2资源级权限的解密上标记实例。它给出了一个例子：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TheseActionsSupportResourceLevelPermissionsWithInstancesAndTags",
            "Effect": "Allow",
            "Action": [
                "ec2:TerminateInstances",
                "ec2:StopInstances",
                "ec2:StartInstances"],
            "Resource": "arn:aws:ec2:us-east-1:accountid:instance/*",
            "Condition": {
                "StringEquals": {"ec2:ResourceTag/Environment": "Prod"}
            }
        }
    ]
}