Risoluzione
----------

La proprietà **Tags** della risorsa **AWS::EC2::Instance** non si estende ai volumi che crei tramite CloudFormation. Se la policy IAM associata all'utente o al ruolo presenta restrizioni sui tag di volume, verrà visualizzato l'errore seguente: "You are not authorized to perform this operation."

Per passare i tag tramite CloudFormation a **EC2:createVolume**, devi definire i tag nella risorsa [AWS::EC2::LaunchTemplate](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-launchtemplate.html) nel tuo modello CloudFormation.

Per creare questa configurazione, completa i passaggi seguenti:

1. Definisci una risorsa del modello di avvio nello stack con i [tag](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-launchtemplatetagspecification.html#cfn-ec2-launchtemplate-launchtemplatetagspecification-tags) necessari per la policy IAM e [ResourceType](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-properties-ec2-launchtemplate-launchtemplatetagspecification.html#cfn-ec2-launchtemplate-launchtemplatetagspecification-resourcetype) impostato su **volume**.  
   Ecco un esempio del codice che puoi usare:
   ```plaintext
   RequiredTagsLaunchTemplate:
       Type: 'AWS::EC2::LaunchTemplate'
       Properties:
         LaunchTemplateData:
           TagSpecifications:
             - ResourceType: volume
               Tags:
                 - Key: Env
                    Value: Dev
   ```

2. Collega il modello di avvio alla risorsa dell'istanza EC2.  
   Ecco un esempio del codice che puoi usare:
   ```plaintext
   Instance:
       Type: 'AWS::EC2::Instance'
       Properties:
         LaunchTemplate:
           LaunchTemplateId: !Ref RequiredTagsLaunchTemplate
           Version: 1
         InstanceType: r4.xlarge
         .
         .
     RequiredTagsLaunchTemplate:
       Type: 'AWS::EC2::LaunchTemplate'
       Properties:
         LaunchTemplateData:
           TagSpecifications:
             - ResourceType: volume
               Tags:
                 - Key: Env
                   Value: Dev
   ```

3. Verifica che il modello di avvio contenga tutti i tag necessari, quindi [crea](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/cfn-console-create-stack.html#create-stack) o [aggiorna](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/using-cfn-updating-stacks-direct.html) lo stack.

**Importante:** il ruolo o l'utente che crea lo stack deve disporre dell'autorizzazione per creare e utilizzare un modello di avvio senza restrizioni sui tag. Puoi utilizzare la chiave di condizione [aws:CalledVia](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-calledvia) per creare una nuova istruzione che esenta le chiamate API CloudFormation dai requisiti di tagging.

Desidero creare istanze Amazon Elastic Compute Cloud (Amazon EC2) tramite AWS CloudFormation. La mia policy di AWS Identity and Access Management (IAM) per RunInstances prevede restrizioni basate su tag.

Creazione di un'istanza EC2 in CloudFormation con restrizioni basate su tag

Come posso creare istanze Amazon EC2 tramite CloudFormation quando la policy IAM per RunInstances prevede restrizioni basate su tag?

Management & Governance

In che modo le chiavi di condizione PrincipalTag, ResourceTag, RequestTag e TagKeys controllano l'accesso nelle policy IAM?

Come posso creare una policy IAM per concedere esplicitamente le autorizzazioni per creare e gestire istanze EC2 in un VPC specificato con tag?

Come posso creare una policy IAM per controllare l'accesso alle risorse di Amazon EC2 utilizzando i tag?

Come posso risolvere l'errore "Non si dispone dell’autorizzazione IAM per elaborare i tag nella risorsa AWS::EC2::Instance" quando creo una risorsa AWS::EC2::Instance in CloudFormation?

Come posso creare istanze Amazon EC2 tramite CloudFormation quando la policy IAM per RunInstances prevede restrizioni basate su tag?

Risoluzione

Contenuto pertinente