概要
特定のEC2に対してのみ、SGの関連付けを変更できるIAMポリシーを考えます。
(例)Tag(system)が「gyoumu」のEC2に対してのみ、SGの関連付けを変更できるように設定する
結論
できませんでした。
仕様上、制御の仕方は以下の2択となります。
・全てのEC2に対してSGの関連付けを変更できるようにする。
・全てのEC2に対してSGの関連付けを変更できないようにする。
詳しく
SGの関連付けを変更する操作に該当するIAMポリシーは、「ec2:ModifyNetworkInterfaceAttribute」です。
当該操作に対して、EC2を絞ることはできません。
補足ですが、以下のように記載することで関連付け可能なSGを指定することはできます。
※前提として、リソース(EC2インスタンスやSG)の読み取り権限は付与する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:ModifyNetworkInterfaceAttribute" ], "Resource": "arn:aws:ec2:*::security-group/<関連付け変更を許可するSGに応じて記載する>" } }