有人可以解释为什么 AWS 将角色设计为具有类似于整个服务(EC2、Lambda 等(的委托人,即无法关联/限制由特定 EC2 实例类型或特定 Lambda 函数假设 - 我在这里是否缺少一个关键的 AWS 设计概念?
如果我想将特定角色限制为只能由 t2.micro EC2 实例(而不能由其他 EC2 实例系列类型(代入,这在 AWS 中可以实现吗?如果可以执行此操作,将编写此限制的哪个权限策略?
尝试将下面的条件部分添加到角色的"可信身份"策略中,但这不起作用,即其他实例类型示例 t2.large 也能够执行创建存储桶(使用 CLI(等操作。
"Condition": {
"StringEquals": {
"ec2:InstanceType": [
"t2.micro"
]} }
不,不可能在信任策略中设置限制。
如果您只想在特定实例上使用某些 IAM 角色,则需要通过使用iam:PassRole来强制执行。这是确定某人是否有权将特定角色传递给服务(例如 EC2 实例(的权限。简而言之:您可以限制允许谁选择 IAM 角色,然后相信他们知道何时正确使用它。