限制aws ec2用户

时间:2016-05-09 09:25:00

标签: amazon-web-services amazon-ec2

是否可以创建一个子帐户或子用户,例如他可以根据标签在AWS中看到和/或做什么?

我尝试过使用策略,但是对于实例来说这不起作用,因为你无法在资源级别上限制它 这使得他们既可以控制并看到一切,也可以什么也不做。

有什么我错过的吗?

1 个答案:

答案 0 :(得分:1)

问题范围太广了。请研究IAM指南并了解IAM策略生成器条件。 即使使用允许使用通配符的ARN,您仍然需要为这些通配符值定义一些显式前缀/后缀。对于EC2,您需要了解EC2 resource ARN并且可能需要与"条件"添加限制。

以下是将策略生成器用于仅允许运行,启动和停止实例的策略的示例,并将其限制为使用资源标记serverX的EC2。将此策略附加到用户时,他们只能执行以下任务。您可能需要添加更多条件,以确保用户不会看到实例属于他人,方法是自行强制执行标记名称创建。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1462794515000",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:RunInstances",
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Condition": {
                "StringLike": {
                    "ec2:ResourceTag/Name": "serverX"
                }
            },
            "Resource": [
                "arn:aws:ec2::1234567890:instance/*"
            ]
        }
    ]
}

您可以使用AWS policy Simulator。另一个很好的参考是AWS inline policies and managed policies