>我已将策略PowerUserAccess分配给一个组。 这方面的政策是:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"NotAction": [
"iam:*",
"organizations:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:DeleteServiceLinkedRole",
"iam:ListRoles",
"organizations:DescribeOrganization"
],
"Resource": "*"
}
]
}
在第二个权限中,似乎授予了 iam:ListRoles。 但是,当我尝试创建虚拟机并尝试查看要分配给它的角色时,我收到消息"您无权列出任何 IAM 角色。请联系您的管理员,或检查您的 IAM 权限。
我是否应该能够以高级用户身份为 EC2 实例分配角色? 是否需要授予其他权限?
不,PowerUserAccess 策略不允许这样做。您需要包含 iam:ListInstanceProfiles 以查看可附加到 EC2 实例的 IAM 角色,以及 iam:Passrole 以将角色附加到实例。