此问题适用于AWS,我正在寻找要创建的cutom策略。 我有一个名为IOT-grp的组,并且有很少的实例,它们被标记为IOT(Key是Environment,Value是IOT)。我期待满足两个要求。
1-我希望创建策略,允许任何属于IOT组的用户应该能够启动/停止/重新启动仅标记为IOT的实例。
2-除此之外,IOT组中的任何用户都应该能够终止(仅IOT实例)并创建新实例(仅适用于IOT)。 IOT,Prod和QA实例有不同的安全组。
此致
答案 0 :(得分:1)
首先阅读Demystifying EC2 Resource-Level Permissions上的将用户限制为已标记的实例。它给出了一个例子:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "TheseActionsSupportResourceLevelPermissionsWithInstancesAndTags",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances",
"ec2:StopInstances",
"ec2:StartInstances"],
"Resource": "arn:aws:ec2:us-east-1:accountid:instance/*",
"Condition": {
"StringEquals": {"ec2:ResourceTag/Environment": "Prod"}
}
}
]
}