2016-01-20 82 views

回答

1

可以限制政策,只允許某些實例類型:

{ 
    "Version": "2012-10-17", 
    "Statement": [{ 
     "Effect": "Allow", 
     "Action": "ec2:RunInstances", 
     "Resource": [ 
     "arn:aws:ec2:region::image/ami-*", 
     "arn:aws:ec2:region:account:instance/*", 
     "arn:aws:ec2:region:account:subnet/*", 
     "arn:aws:ec2:region:account:network-interface/*", 
     "arn:aws:ec2:region:account:volume/*", 
     "arn:aws:ec2:region:account:key-pair/*", 
     "arn:aws:ec2:region:account:security-group/sg-12345678" 
     ], 
     "Condition": { 
      "StringEquals": { 
       "ec2:InstanceType": "m1.small" 
      } 
     } 
    } 
    ] 
} 

此策略允許用戶在一個VPC啓動一個實例,但只有一個的m1.small實例類型。

您可以進一步限制對特定AMI,子網等的權限。例如,此處的安全組僅限於一個特定的策略。

您無法限制通過IAM策略啓動的實例數量。

請參閱IAM user to limit number of ec2 instances and typeExample Policies for Working in the Amazon EC2 Console

1

據我所知,唯一的方法是在終端用戶和AWS之間放置一個代碼邏輯層,例如使用一些python boto腳本。您也可以部署調用腳本的Web界面,或者使用諸如rundeck,jenkins或其他的工具,並在這些界面中創建作業。

相關問題