如何根据标签给IAM用户管理员访问EC2的权限?

时间:2018-05-08 19:25:45

标签: amazon-web-services amazon-ec2 permissions amazon-iam

我正在尝试向IAM用户提供对带有标记(键/值)UserName / [他们的IAM用户名]的EC2的完全api / console访问权限。

我已经尝试过下面的政策,它适用于某些东西而不是其他东西,我无法弄清楚为什么它不能用于所有事情。

  • 用户CAN可以启动和停止将UserName标记设置为其IAM用户名的实例(如果没有以下策略,则无法执行此操作)
  • 用户无法使用UserName标记更改实例类型(这似乎是ec2:*操作)
  • 用户无法使用UserName标记
    • 更改实例上的终止保护

我的IAM政策

  • 除此政策外,这些用户还拥有使用预定义AWS政策ReadOnlyAccess的完全读取权限。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/UserName": "${aws:username}"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        }
    ]
}

我合并了许多AWS文章中的文章来创建此政策: - https://aws.amazon.com/premiumsupport/knowledge-center/iam-ec2-resource-tags/ - https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html

0 个答案:

没有答案
相关问题
最新问题