AWS IAM控制一組EC2實例

Question

我們對S3和SQS，Redshift等組成員和用戶使用IAM權限。特別是針對S3的IAM通過路徑和存儲桶提供了可愛的細節級別。

當談到EC2權限時，我遇到了一些棘手的問題。

如何創建權限，允許IAM用戶：

• 創建多達ň實例
• 做任何他/她想要在這些情況下只（終止/停止/描述）

...並使它不可能爲他/她的影響我們的其他情況下（其他城市終止/中止/等）？

我一直在嘗試條件標籤（"Condition": {"StringEquals": {"ec2:ResourceTag/purpose": "test"}}），但這意味着我們所有的工具都需要修改，以在創建時添加該標籤。

有沒有更簡單的方法？

Answer 1

限制IAM用戶創建的實例數量是不可能的（不幸的是）。您擁有的只是整個帳戶中實例數量的限制。

權限限制爲特定的情況下是可能的，但你必須爲每個實例指定-ID的權限，使用此格式：

arn:aws:ec2:region:account:instance/instance-id 

的更多信息，請訪問：

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html