将 iam 策略附加到 RunInstances 的每个角色

Question

我有一个iam policy，它要求 Runinstances 还包含我们财务部门认为需要的四个标签。

我想将此策略附加到所有角色，但是，我们不能使用 AWS 组织。

有哪些方法可以实现这一目标？我想到的一些想法是

• Cloudwatch 事件监控 RunInstances 事件，然后确定 使用了哪个角色并将我的 iam 策略附加到它。 （如果没有包含标签，后续的 RunInstances 调用将被拒绝）
• 使用 boto（计划）遍历帐户中的所有角色并附加我的 iam 策略。

实现我的目标以部署我的 iam 策略以便 RunInstances 事件包含所需标签的好方法是什么？

Answer 1

有两种方法可以强制执行标签：

• 在实例启动时强制执行，或者
• 定期检查实例，identifying instances that violate a tagging policy

AWS 组织无法提供这种级别的细粒度控制——它只能在没有任何条件的情况下授予或拒绝特定的 API 调用（例如 ec2:RunInstance）。

要在启动时强制执行标签，您需要修改所有授予 RunInstances 权限的策略。或者，您可以创建拒绝策略并将其附加到所有用户，这将覆盖标准允许策略。见：EC2 IAM policy to require tags