我创建了一个限制用户访问单个实例的策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1392113879000",
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": [
"arn:aws:ec2:us-east-1:account:instance/instance_id"
]
}
]
}
但是我收到了这个错误:
You are not authorized to describe Running Instances
You are not authorized to describe Elastic IPs
You are not authorized to describe Volumes
You are not authorized to describe Snapshots
You are not authorized to describe Key Pairs
You are not authorized to describe Load Balancers
You are not authorized to describe Placement Groups
You are not authorized to describe Security Groups
我无法在控制台中看到该实例。如果我不能实现这个东西那么政策的用途是什么!!
我卡住请帮忙
答案 0 :(得分:1)
目前,并非所有API操作都支持单个ARN;我们将添加 支持其他API操作和其他Amazon EC2的ARN 资源以后。有关可以使用哪些ARN的信息 哪些Amazon EC2 API操作,以及支持的条件键 每个ARN,请参阅Amazon EC2 API支持的资源和条件 动作。
所以,wiritng ec2:*
不会帮助你。相反,您应该提供您希望授予此用户的确切API操作。
另外,引用上面提到的相同链接:
要指定所有资源,或者特定API操作不支持ARN,请在Resource元素中使用*通配符,如下所示:
分配限制性EC2 IAM策略有点复杂。您可能希望详细阅读上面提到的链接以及this链接。
答案 1 :(得分:0)
检查您所在的地区。您的政策使用US-East-1,但您的实例在哪里? US-西-2?