インスタンスIDがi-1234567890abcd
に等しくないEC2インスタンスにIAMロールを渡すことを制限するIAMポリシーを作成しようとしています。インスタンスIDがIAMポリシー内のインスタンスIDと一致しない場合、IAMロールをEC2インスタンスにアタッチするように制限する
ポリシーにエラーはありませんが、このポリシーの効果はありません。以下のポリシーからCondition
を削除すると機能しますが、EC2インスタンスにアタッチされる役割は制限されます。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": ["iam:PassRole"],
"Resource": ["arn:aws:iam::000000000000:role/MyEC2InstanceSpecificRole"],
"Condition": {
"ArnNotEquals": {
"ec2:SourceInstanceARN": "arn:aws:ec2:us-east-1:000000000000:instance/i-1234567890abcd"
}
}
}
]
}