Я не могу найти ответ, который прояснит этот вопрос для меня.
Я смотрю на этот пример:https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-examples.html
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:StartSession"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"StringLike": {
"ssm:resourceTag/Finance": [
"WebServers"
]
}
}
}
]
}
в чем разница между aws:TagKeys, ssm:resourceTag/tag-key, aws:ResourceTag/${TagKey}
что такое ssm:resourceTag? отличается ли он от aws:ResourceTag/${TagKey}? это специальный тег, применяемый системным менеджером? я не использую системный менеджер для применения тегов к экземплярам ec2, я просто помечаю их вручную. как ограничить доступ менеджера сеансов к моим экземплярам ec2 с помощью тегов, которые я применил к ним вручную?
решение1
Как указано в документе, это тег экземпляра EC2, и я попробовал это, это работает. Кстати, может быть, вам следует включить агента SSM для извлечения информации об экземпляре в SSM, где вы сможете увидеть информацию об экземпляре, такую как тег экземпляра, в AWS Systems Manager -> Fleet Manager -> Instance ID: XXX.
Поскольку я работал над фильтрацией доступа к использованию по тегам экземпляров, после включения инвентаризации в SSM все заработало.