我的 AWS Amazon 账户中有多个 EC2 实例。我有一个特定的 EC2 实例,我希望外包商使用(停止、启动、管理安全组、调整磁盘空间大小等(。
我尝试使用 IAM 策略执行此操作,但据我所知,描述实例允许用户查看我账户中的所有实例。当我尝试编辑特定资源的策略时,它会显示错误,因为它描述实例不是资源级策略,因此它必须具有资源"*"。
我在想也许允许他访问不同的区域,并将实例放在那里。另一种选择是使用组织(有点复杂,但看起来很有希望,如果这是要走的路,会很乐意理解(。
我错过了什么吗?实现我所需目标的最佳解决方案是什么?
如果您想授予外包商调用您账户中的 AWS 服务的权限,那么从安全角度来看,将这些资源放在子账户中会安全得多。
这样,您可以保证他们的凭据不会影响您的任何其他资源和服务。
另一种选择将过于复杂而难以管理。例如,安全组可以与多个实例关联,一个实例可以有多个安全组。这不可能在 IAM 策略中进行编码。