允许不允许IAM USER实例创建新实例

时间:2015-01-19 04:41:26

标签: amazon-web-services

我想创建一个拥有现有实例所有权限的超级用户,但他无法创建新实例。

哪个权限可以解决该问题。

2 个答案:

答案 0 :(得分:1)

我假设" PowerUser"表示所有权限,然后您可能想尝试此权限

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": "ec2:RunInstances",
      "Resource": "*"
    }
   ]
}

第一个声明为您的用户提供完全权限(请适应您对" PowerUser"的定义)。第二个语句明确拒绝调用EC2 API RunInstances(http://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_RunInstances.html

您可以在http://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html

了解有关IAM政策的更多信息

答案 1 :(得分:0)

我假设您正在讨论EC2权限。为防止创建新实例,与此相关联的EC2 policy actionEC2:RunInstances

要指定单个实例,我建议使用condition blockec2:ResourceTag/。这比以另一种方式对其进行硬编码提供了更大的灵活性。但是,这需要一些考虑来防止权限提升。

相关问题
最新问题