amazon-web-services - east - iam role
¿Puede una política de IAM de Aws referirse dinámicamente al nombre de usuario registrado? (1)
El usuario de IAM se puede consultar en los documentos de política por ${aws:username}
.
Hay una lista de otras variables de políticas de IAM y sus usos aquí:
http://docs.aws.amazon.com/IAM/latest/UserGuide/PolicyVariables.html
Intento escribir una política de IAM que controlará el acceso a las instancias de ec2. Todas las instancias ec2 tendrán una etiqueta personalizada llamada nombre de usuario y solo si el valor de la etiqueta coincide con el nombre de usuario del usuario conectado, ¿tendrá ese usuario acceso a esa instancia ec2? Esto es lo que se me ocurrió:
{
"Version": "2012-10-12",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/username": "arn:aws:iam::account-number-without-hyphens:user/username1"
}
}
}
]
}
Estoy seguro de que ves el problema aquí. No quiero codificar el nombre de usuario en el lado derecho. Deseo poder obtener esa información en tiempo de ejecución o tiempo de evaluación de políticas.
¿Es posible hacerlo?
--su