有人可以解释为什么角色由AWS设计为具有像整个服务(EC2,Lambda等)这样的主体,即无法关联/限制特定EC2实例类型或特定Lambda函数的可假定性-Am我在这里错过了关键的AWS设计概念吗?
如果我想将特定角色限制为只能由t2.micro EC2实例(且没有其他EC2实例族类型)承担,那么这在AWS中可以实现吗?如果可以做到这一点,将写出哪个权限策略此限制?
尝试将下面的“条件”部分添加到角色的“受信任的身份”策略中,但这不起作用,即其他实例类型(例如t2.large)也能够执行操作,例如创建存储桶(使用CLI)。
"Condition": {
"StringEquals": {
"ec2:InstanceType": [
"t2.micro"
]} }
答案 0 :(得分:1)
否,不可能在信任策略中设置限制。
如果仅希望在特定实例上使用某些IAM角色,则需要通过使用iam:PassRole来强制实施。这是确定某人是否有权将特定角色传递给服务(例如EC2实例)的许可。简而言之:您可以限制允许谁选择IAM角色,然后相信他们知道何时正确使用它。