amazon-web-services - 标记资源的 AWS CDK 策略条件

Question

我目前正在使用 CDK 创建 AWS 堆栈。我为部署堆栈的用户定义了一个策略，以拥有正确的权限。在 CDK 中，我用以下标记标记我的资源:

const app = new cdk.App();
const scheme = new MyTemplateStack(app, 'MyTemplateStack');


cdk.Tag.add(scheme, 'Team', 'myTeamName');

我想使用条件策略来允许我的用户仅有权修改或删除标记有正确团队的资源:

因此，这是我需要在以下条件下部署堆栈的策略示例:

        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "ec2:RevokeSecurityGroupIngress",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Team": "myTeamName"
                }
            }
        }

但是当我尝试再次部署堆栈时，出现以下错误，指出我未获得授权:

API: ec2:RevokeSecurityGroupEgress You are not authorized to perform this operation

我已经阅读了文档，但我不明白为什么这不起作用。

感谢您的帮助!

Answer 1

在我看来，您允许 ec2:RevokeSecurityGroupIngress，但尝试调用 ec2:RevokeSecurityGroupEgress 操作。您能否核实并确认？