我们正在为群组和用户使用IAM权限,并为S3,SQS,Redshift等取得了巨大成功。特别是S3的IAM通过路径和存储桶提供了可爱的详细信息。
在谈到EC2权限时,我碰到了一些头脑。
如何创建允许IAM用户执行的权限:
...并且让他/她无法影响我们的其他情况(更改终止/终止等)?
我一直在尝试标记条件("Condition": {"StringEquals": {"ec2:ResourceTag/purpose": "test"}}),但这意味着我们需要修改所有工具以在创建时添加该标记。
有更简单的方法吗?
答案 0 :(得分:0)
不可能限制IAM用户可以创建的实例数(不幸的是)。您所拥有的只是对整个帐户中实例数量的限制。
可以限制对特定实例的权限,但您必须使用以下格式为每个实例ID指定权限:
arn:aws:ec2:region:account:instance/instance-id
更多信息请点击此处:
http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html