AWS SCP 强制为每个创建的资源使用标签

我在公司有一个测试AWS帐户，我希望每个创建资源的人，我必须放置三个标签类型：项目、用户。 我已经创建了它们，现在如果他们创建一个资源并放置 tag=project 并且在他们放置了一些错误的值中，它会跳转一个错误。 问题是，如果他们不放置任何东西，它就允许创建资源。 为此，我发现有必要创建一个如下所示的 SCP：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "DenyEC2CreationSCP1",
      "Effect": "Deny",
      "Action": [
        "ec2:RunInstances",
        "ec2:CreateVolume"
      ],
      "Resource": [
        "arn:aws:ec2:*:*:instance/*",
        "arn:aws:ec2:*:*:volume/*"
      ],
      "Condition": {
        "Null": {
          "aws:RequestTag/Proyect": "true"
        }
      }
    }
  ]
}

如果您创建没有标签的 EC2 实例资源或卷，这应该会失败，问题是它仍然允许您创建它...

我想知道错误是否可能是当我添加策略时，我将其放在根级别，它不允许我将其放在最低级别即 DEV，即便如此，我知道它应该可以工作根级别：