我需要确保其管理组中不超过一个人具有删除amazon EC2资源的永久权限。当前Admin组策略不应该有任何修改。我应该用什么?管理政策?STS吗?也许是内联策略?
您可以创建一个新的策略策略,其中您希望包含终止实例的ec2操作,并且只允许一个用户能够通过添加条件来执行该操作。
的例子:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1656720238220",
"Action": [
"ec2:TerminateInstances"
],
"Effect": "Deny",
"Resource": "arn:aws:ec2:*:*:* ",
"Condition": {
"StringNotEquals": {
"aws:username": "johndoe"
}
}
}
]
}
This This明确地拒绝了所有,除了johndoe,你不必编辑原始管理策略,即使它允许ec2实例终止,因为AWS通过策略的方式https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html