允许用户通过其标签管理EC2
我正在尝试为我们的供应商启用EC2访问权限。那么,我做了什么:我添加标签"供应商"对于专用的EC2实例。
然后,我在下面添加政策..
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Vendor": "Takamol"
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:TerminateInstances"
],
"Resource": "*"
}
]
}
尽管如此,用户(属于附加组的用户)也无法看到任何EC2实例,即使策略条件受到标记"供应商"的限制。 (正如你所注意到的那样)。
如何允许用户仅管理具有标签的EC2实例:Vendor = Takamol
1 个答案:
答案 0 :(得分:6)
你想要实现的目标是不可能的。这是因为一个名为"资源级别权限的概念"。支持资源级别权限的操作允许您使用IAM来允许/拒绝用户对相关资源的某些子集执行操作的能力,例如,具有特定标记,S3存储桶,VPC等的EC2实例。不支持所有资源的不支持资源级别权限的操作,并且只能在资源为*的语句中允许用户使用并且没有条件。
不幸的是,并非所有EC2操作都支持资源级别权限。您的用户无法使用上述IAM策略查看任何EC2实例的原因是ec2:Describe * API调用(在控制台中用于列出帐户中的所有实例)不支持资源级别权限。 / p>
因此即使ec2:Describe *属于ec2:*,你允许在策略的第一个语句中使用标记实例,ec2:描述*并且条件评估为DENY所有ec2:Describe *。
人们通常最终会做的是允许供应商访问以查看帐户中的所有实例,然后只允许他们获得特定实例集所需的其他权限。请参阅下面的策略,它将允许用户查看所有实例,但只能使用所需标记启动,停止和重新启动实例。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowSeeEverything",
"Effect": "Allow",
"Action": [
"ec2:Describe*"
],
"Resource": [
"*"
]
},
{
"Sid": "ThingsIAllowThemToDoForTaggedEc2s",
"Effect": "Allow",
"Action": [
"ec2:RebootInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Vendor": "Takamol"
}
},
"Resource": [
"*"
]
}
]
}
Supported Resource-Level Permissions for Amazon EC2 API Actions中记录了EC2 API调用的列表以及支持的条件,以及支持的条件。我还建议您阅读Demystifying EC2 Resource-Level Permissions 博文。
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?