如何在AWS中为IAM用户组提供基于标签的访问权限?

时间:2017-06-17 19:55:03

标签: amazon-web-services amazon-ec2 amazon-iam

此问题适用于AWS,我正在寻找要创建的cutom策略。 我有一个名为IOT-grp的组,并且有很少的实例,它们被标记为IOT(Key是Environment,Value是IOT)。我期待满足两个要求。

1-我希望创建策略,允许任何属于IOT组的用户应该能够启动/停止/重新启动仅标记为IOT的实例。

2-除此之外,IOT组中的任何用户都应该能够终止(仅IOT实例)并创建新实例(仅适用于IOT)。 IOT,Prod和QA实例有不同的安全组。

此致

1 个答案:

答案 0 :(得分:1)

首先阅读Demystifying EC2 Resource-Level Permissions上的将用户限制为已标记的实例。它给出了一个例子:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "TheseActionsSupportResourceLevelPermissionsWithInstancesAndTags",
            "Effect": "Allow",
            "Action": [
                "ec2:TerminateInstances",
                "ec2:StopInstances",
                "ec2:StartInstances"],
            "Resource": "arn:aws:ec2:us-east-1:accountid:instance/*",
            "Condition": {
                "StringEquals": {"ec2:ResourceTag/Environment": "Prod"}
            }
        }
    ]
}
相关问题
最新问题