我已将某些服务的开发外包给另一家公司,现在我需要另一家公司才能代表我创建一个ec2实例。
我还有其他一些我不希望公司查看并能够改变的情况。
我知道如何创建IAM用户,但我不知道如何创建正确的策略以授予该用户访问ec2的权限,以及创建和管理他/她创建的实例,而无需访问其他情况。
是否有可能,如果是,该政策如何?
感谢
托马斯
答案 0 :(得分:0)
这不是一个简单的答案。创建实例需要具有调用RunInstances命令的权限,但还需要权限才能使用关联的安全组和AMI。另一家公司也可能希望能够查看他们已启动的实例的详细信息,以及启动/停止实例的能力。
事实上,如果您拒绝查看现有EC2实例的权限,EC2管理控制台将无法正常工作。
可以授予特定于资源的权限,这些权限仅允许影响特定实例(或VPC,AMI等)的调用。因此,RunInstances命令可能仅限于特定的AMI,密钥对,快照,子网等。StopInstances命令可能仅限于他们创建的实例(但您需要ID,因此您只能在启动实例后授予该权限。
另请注意,启动实例需要身份和访问管理(IAM)中的权限,该权限与登录对实例的权限分开。
建议:如果要为它们启动实例,则可能最安全,然后为他们提供登录实例以执行其工作的权限。如果他们需要更多访问您的AWS账户,可能会非常明确地确定他们应该/不应该访问哪些资源。
请参阅: