Error de la directiva de usuario de AWS EC2 IAM

Estoy tratando de crear una directiva de usuario que permite a los usuarios específicos el acceso a sólo los siguientes permissions dentro de un VPC específico: Crear instancias Iniciar instancias Detener instancias Finalizar instancias

He creado y probado la política en IAM y funciona de acuerdo con el Policy Simulator, sin embargo, cuando lo aplico, el usuario NO es capaz de iniciar una instancia. He adjuntado la política y el post de error a continuación.

Parece que faltan algunos permissions, pero no estoy seguro de qué, ya que se ejecuta correctamente al utilizar el simulador de políticas.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "NonResourceBasedReadOnlyPermissions", "Action": [ "ec2:Describe*", "ec2:CreateKeyPair", "ec2:CreateSecurityGroup", "iam:GetInstanceProfile", "iam:ListInstanceProfiles", "aws-marketplace:viewSubscriptions", "aws-marketplace:Subscribe" ], "Effect": "Allow", "Resource": "*" }, { "Sid": "IAMPassRoleToInstance", "Action": [ "iam:PassRole" ], "Effect": "Allow", "Resource": "arn:aws:iam::5555555555555:role/vpc-user" }, { "Sid": "AllowInstanceActions", "Effect": "Allow", "Action": [ "ec2:RebootInstances", "ec2:StopInstances", "ec2:TerminateInstances", "ec2:StartInstances", "ec2:AttachVolume", "ec2:DetachVolume" ], "Resource": "arn:aws:ec2:us-east-1e:5555555555555:instance/*", "Condition": { "StringEquals": { "ec2:InstanceProfile": "arn:aws:iam::5555555555555:instance-profile/vpc-user" } } }, { "Sid": "EC2RunInstances", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:us-east-1e:5555555555555:instance/*", "Condition": { "StringEquals": { "ec2:InstanceProfile": "arn:aws:iam::5555555555555:instance-profile/vpc-user" } } }, { "Sid": "EC2RunInstancesSubnet", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:us-east-1e:5555555555555:subnet/*", "Condition": { "StringEquals": { "ec2:vpc": "arn:aws:ec2:us-east-1e:5555555555555:vpc/vpc-1234abcd1" } } }, { "Sid": "RemainingRunInstancePermissions", "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:us-east-1e:5555555555555:volume/*", "arn:aws:ec2:us-east-1e::image/*", "arn:aws:ec2:us-east-1e::snapshot/*", "arn:aws:ec2:us-east-1e:5555555555555:network-interface/*", "arn:aws:ec2:us-east-1e:5555555555555:key-pair/*", "arn:aws:ec2:us-east-1e:5555555555555:security-group/*" ] }, { "Sid": "EC2VpcNonresourceSpecificActions", "Effect": "Allow", "Action": [ "ec2:DeleteNetworkAcl", "ec2:DeleteNetworkAclEntry", "ec2:AuthorizeSecurityGroupEgress", "ec2:AuthorizeSecurityGroupIngress", "ec2:RevokeSecurityGroupEgress", "ec2:RevokeSecurityGroupIngress", "ec2:DeleteSecurityGroup" ], "Resource": "*", "Condition": { "StringEquals": { "ec2:vpc": "arn:aws:ec2:us-east-1e:5555555555555:vpc/vpc-1234abcd1" } } } ] } 

Aquí está el post de error (decodificado usando awscli)

 {"allowed":false,"explicitDeny":false,"matchedStatements":{"items":},"context":{"principal":{"id":"REDACTED","name":"USER.REDACTED","arn":"arn:aws:iam::5555555555555:user/USER.REDACTED"},"action":"ec2:RunInstances","resource":"arn:aws:ec2:us-east-1:5555555555555:instance/*","conditions":{"items":[{"key":"ec2:Tenancy","values":{"items":}},{"key":"ec2:AvailabilityZone","values":{"items":}},{"key":"ec2:Region","values":{"items":}},{"key":"ec2:ebsOptimized","values":{"items":}},{"key":"ec2:InstanceType","values":{"items":}},{"key":"ec2:RootDeviceType","values":{"items":}}}" } 

  • Cómo escaping o quitar comillas dobles en la plantilla rsyslog
  • opción de consulta awcli para múltiples expresiones de filter
  • Error fatal: Llamar a la function indefinida json_encode () ..?
  • Cuchillo no analiza la variable JSON en PowerShell
  • IOException: Error de lectura de socket en Apache 2, mod_jk y Tomcat en AJP
  • ¿Progtwig de Linux usado para recolectar packages, processs, puertos de escucha instalados, etc.?
  • htaccess requiere que el dominio del host no funcione correctamente
  • jsonrpc service nginx ssl configuration
  • nginx loggin $ request_body produce encoding extraña
  • Chef: carga los attributes de la database encriptada en el rol json
  • El linux y los temas del servidor de Windows, como ubuntu, centos, apache, nginx, debian y consejos de red.