Question

目标是找出是否可以创建EC2角色，让用户启动新的EC2和RDS实例，并对us-west-2区域中用sf_env：dev标记的资源具有完全管理访问权限。有可能做到这一切吗？如果是这样，我的政策中缺少什么？除此之外，我不希望他们对帐户进行任何其他访问。

在阅读了iam，ec2和rds用户指南以及其中一篇博文之后，我有一些问题，因为在创建策略，角色并使用其中一个进行测试后，我现在有点模糊了。测试用户帐户。用户实际上拥有对该地区所有资源的完全管理员权限，这不是我想要的。

http://blogs.aws.amazon.com/security/post/Tx29HCT3ABL7LP3/Resource-level-Permissions-for-EC2-Controlling-Management-Access-on-Specific-Ins

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "ec2:*"
        ],
        "Resource": [
            "*"
        ],
        "Condition": {
            "StringEquals": {
                "ec2:ResourceTag/sf_env": "dev"
            }
        }
    },
    {
        "Effect": "Allow",
        "Action": [
            "rds:*"
        ],
        "Resource": [
            "*"
        ],
        "Condition": {
            "StringEquals": {
                "ec2:ResourceTag/sf_env": "dev"
            }
        }
    }
]

}

AWS IAM策略EC2和RDS按标签

0 个答案: