我们正在为组和用户使用 IAM 权限,在 S3、SQS、Redshift 等方面取得了巨大成功。 特别是 S3 的 IAM 按路径和存储桶提供了可爱的细节级别。
在EC2权限方面,我遇到了一些令人头疼的问题。
如何创建允许 IAM 用户执行以下操作的权限:
- 最多创建 n 个实例
- 仅在这些实例上做他/她想做的任何事情(终止/停止/描述)
。并且使他/她无法影响我们的其他实例(更改终止/终止/等)?
我一直在尝试标签上的条件 ( "Condition": {"StringEquals": {"ec2:ResourceTag/purpose": "test"}} ),但这意味着我们所有的工具都需要修改以在创建时添加该标签。
有没有更简单的方法?
限制 IAM 用户可以创建的实例数是不可能的(不幸的是)。您所拥有的只是对整个账户中的实例数量的限制。
可以将权限限制为特定实例,但您必须使用以下格式为每个实例 ID 指定权限:
arn:aws:ec2:region:account:instance/instance-id
更多信息可在此处获得:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html