我创建了一个只有极少信息的VPC:VPC名称,CIDR块和默认租赁类型。然后,我创建了一个策略来管理VPC并将其添加到新创建的用户。我的计划是以该用户身份登录并完成VPC设置,包括子网,EC2实例,RDS,路由等。
问题是,当我登录时,用户根本没有权限。他们未获得任何EC2或VPC服务的授权。我甚至看不到我创建的VPC。据推测,我的政策有问题。这是:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "arn:aws:ec2:ap-southeast-2:999999999999:vpc/vpc-99999999"
}
]
}
(显然这不是真实的帐号或VPC ID。)
我是否只需要IAM服务的额外权限?如果是这样,它是什么?还是比这更复杂?
答案 0 :(得分:2)
目前尚不清楚您希望提供哪些权限。但是,以下内容将为您提供大量访问权限,这些访问权限已本地化为您要管理的特定VPC。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d"
}
}
}
]
}
(更新上面的区域,帐户和vpc ID)