我想创建一个IAM用户,该用户可以创建新实例并完全管理它们(包括终止它们),但不能访问任何其他实例。我尝试了以下操作(iam用户名为auto-provision):
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:Describe*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["ec2:*"],
"Resource":"*",
"Condition": {
"StringEquals": {
"ec2:Owner": "auto-provision"
}
}
}
]
}
这并不像预期的那样奏效。用户可以很好地创建一个实例,但没有权限管理它。我假设我在最后一条语句中的Condition不起作用,因为"所有者"是整个帐户,而不是用户?
我找到了一个解决方案,Assaf Lavie在评论中提出了一些建议。
首先,我创建了一个名为auto-provision-placement-group的放置组。然后我把我的政策文件改成了这样的文件:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:Describe*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RunInstances",
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource":"*"
},
{
"Effect":"Allow",
"Action":["ec2:*"],
"Resource":"*",
"Condition": {
"StringEquals": {
"ec2:PlacementGroup": "arn:aws:ec2:eu-west-1:111111111111:placement-group/auto-provision-placement-group"
}
}
}
]
}
启动新实例时,我会指定相关的放置组。例如(使用Ruby雾):
fog.compute.servers.create(:placement_group => 'auto-provision-placement-group', ...)
服务器被创建到放置组中,然后用于控制对大多数功能的访问。我故意允许完全访问标签,因为我用它来识别机器的所有权。然后,放置组就变成了我的"访问控制"。
一个黑客,但它工作。