好的！以下是一道**仿照期末考试 Question 6 风格**的 IAM Policy 分析题，考察你对 IAM 策略结构、条件（`Condition`）、资源限定（`Resource`）、操作（`Action`）等要素的理解。

------

## ✅ IAM Policy 模拟题（Q6 类似）

------

### 📘 题目背景：

你在审查如下 IAM 策略，该策略被绑定到一个 IAM 用户或角色上。

```json
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:InstanceType": "t3.micro",
"aws:ResourceTag/Project": "CloudLab"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:TerminateInstances",
"Resource": "*"
}
]
}
```

------

### 💬 问题（总分 8 分）

------

### **1. [2 分]**

这个策略允许用户对哪些 EC2 实例执行哪些操作？是否有前提条件？请简要说明。

允许进行开始实例StartInstances，结束实例StopInstances。只可以操作t3.micro类型，aws:ResourceTag/Project:值为"CloudLab"下面的实例。

------

### **2. [2 分]**

这个策略是否允许用户终止（terminate）任何 EC2 实例？请说明理由。

不允许，因为策略中有显式拒绝：Deny，TerminateInstances，并且"Resource": "*"，代表无法终止所有实例。

------

### **3. [2 分]**

如果有一个 EC2 实例，类型为 `t3.micro`，且打了标签 `"Project": "CloudLab"`，请问用户能否停止它？能否终止它？为什么？

可以停止，但是不能终止，原因是因为它满足停止条件，但是用户因为显示拒绝无法终止

------

### **4. [2 分]**

如果用户尝试启动一个类型为 `t2.micro` 的实例，但该实例也打了 `"Project": "CloudLab"` 标签，是否允许？请说明。

不允许，因为用户的开始和停止权限只能操作类型t3.micro的实例

------

📝 请尝试回答这 4 个问题，完成后可回复：“请帮我批改 IAM 模拟题” 来获取评分与解析。
如需参考答案，也可以直接回复：“请给出 IAM 模拟题答案”。

祝你练习顺利！💪