我明白你遇到的困扰了——你想通过IAM策略限制启动EC2实例时必须关联任意密钥对，但之前的条件配置导致无论是否指定密钥对都无法正常启动实例。下面是正确的配置方案和问题分析：

正确的IAM策略配置 #

你需要调整Condition部分，使用Null运算符来强制要求ec2:KeyPairName参数必须存在（非空），同时保留对任意密钥对的允许权限。以下是调整后的完整策略片段：

{
  "Sid": "AllowEC2LaunchWithKeyPair",
  "Effect": "Allow",
  "Action": "ec2:RunInstances",
  "Resource": [
    "arn:aws:iam::xxx:instance-profile/xxx",
    "arn:aws:ec2:xxx::image/xxx",
    "arn:aws:ec2:xxx:xxx:volume/*",
    "arn:aws:ec2:xxx:xxx:subnet/subnet-xxx",
    "arn:aws:ec2:xxx:xxx:security-group/sg-xxx",
    "arn:aws:ec2:xxx:xxx:network-interface/*",
    "arn:aws:ec2:xxx:xxx:launch-template/lt-xxx",
    "arn:aws:ec2:xxx:xxx:key-pair/*",
    "arn:aws:ec2:xxx:xxx:instance/*",
    "arn:aws:ec2:xxx:xxx:elastic-gpu/*"
  ],
  "Condition": {
    "Null": {
      "ec2:KeyPairName": "false"
    }
  }
}

为什么原有配置无效？ #

你之前使用的ForAnyValue:StringLike是针对多值参数的条件运算符，而ec2:KeyPairName是单值参数（启动实例时只能指定一个密钥对）。这种运算符与参数类型的不匹配，导致AWS无法正确评估条件，进而直接拒绝了所有RunInstances请求。

而Null: {"ec2:KeyPairName": "false"}的作用非常明确：要求启动请求中必须包含ec2:KeyPairName参数，且该参数的值不能为null。这完全符合你“必须关联密钥对，但不限制具体密钥对”的需求。

额外验证要点 #

• 确保密钥对的ARN格式正确：格式为arn:aws:ec2:区域:账号ID:key-pair/密钥对名称，你配置的通配符*可以允许任意密钥对，无需修改。
• 测试时，用CLI明确指定密钥对：执行aws ec2 run-instances --image-id ami-xxxx --instance-type t2.micro --key-name 你的密钥对名称 --subnet-id subnet-xxxx，此时请求应该能成功；如果省略--key-name参数，请求会被策略拒绝，符合预期。
• 若通过启动模板启动，需确保模板中指定了密钥对，或启动时覆盖指定密钥对——策略会检查最终启动请求中的ec2:KeyPairName参数，不管参数来自启动模板还是CLI/控制台的手动覆盖。

内容的提问来源于stack exchange，提问作者oakbramble