我创建了一个策略,用于限制用户对单个实例的访问,如下所示:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1392113879000",
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": [
"arn:aws:ec2:us-east-1:account:instance/instance_id"
]
}
]
}
但是我收到此错误:
You are not authorized to describe Running Instances
You are not authorized to describe Elastic IPs
You are not authorized to describe Volumes
You are not authorized to describe Snapshots
You are not authorized to describe Key Pairs
You are not authorized to describe Load Balancers
You are not authorized to describe Placement Groups
You are not authorized to describe Security Groups
我在控制台中看不到该实例。如果我不能实现这个东西,那么政策有什么用!!
我卡住了,请帮忙
来自 iam-policies-for-amazon-ec2
目前,并非所有 API 操作都支持单个 ARN;我们将添加 支持其他 API 操作和用于其他 Amazon EC2 的 ARN 稍后的资源。有关您可以与哪些 ARN 一起使用的信息 哪些 Amazon EC2 API 操作,以及支持的条件键 每个 ARN,请参阅 Amazon EC2 API 支持的资源和条件 行动。
因此,ec2:*不会帮助您。相反,您应该提供您希望授予此用户的确切 API 操作。
另外,引用上述同一链接:
要指定所有资源,或者如果特定 API 操作不支持 ARN,请在资源元素中使用 * 通配符,如下所示:
分配限制性 EC2 IAM 策略有点复杂。您可能想详细阅读上面提到的链接以及此链接。
检查您所在的地区。您的策略使用 US-East-1,但您的实例在哪里?美国西部-2?