我想创建一个监控实例,该实例具有在其创建的云形式范围内终止,创建,销毁实例,自动缩放组,标签等的权限。
我应该向政策提供哪些资源才能使其发挥作用?
{
"PolicyName": "ManageCloudformationInstances",
"PolicyDocument": {
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": "?????"
}
]
}
},
答案 0 :(得分:2)
所以我想你的问题有两部分。
如果您要在您的云计算模板中创建实例,那么您可以轻松地使用GetAtt function为这些资源提取Arn
。
但是,如果您尝试动态允许它删除自动扩展组内的实例,则需要动态编辑策略以允许该操作。想到的最简单的方法是每次ASG扩展并编辑策略以包含最近扩展活动中的ARN时触发lambda函数。
你可能想从ASG开始这样的事情 - http://docs.aws.amazon.com/autoscaling/latest/userguide/cloud-watch-events.html