![](/img/trans.png)
[英]Writing an IAM policy to restrict AWS SSM connections to EC2 instances by EC2 tags
[英]AWS IAM Policy to restrict Read Acces on EC2 instances
我正在嘗試創建 AWS IAM 策略來限制對 EC2 實例的讀取訪問。
目標:我在 AWS 中有許多 EC2 實例和許多不同的用戶,我希望有一組用戶只能看到特定的 EC2 實例而不是所有實例。
有沒有可能這樣做?
我試圖通過標記實例來限制訪問,但如果我看對了,Describe* API 不能受條件限制,而不是受資源限制。
不幸的是,唯一干凈的方法是擁有多個 AWS 賬戶(最好在一個Organization 下),然后將不同的用戶組限制為不同的賬戶。
一些(但不是全部)操作支持資源級權限,因此您可以編寫如下所示的策略來限制 IAM 用戶可以啟動/停止/重啟的 EC2 實例:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Environment": "Staging"
}
},
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
]
}
此外,您可以限制 SSH 密鑰對或 Windows 憑證的分發,以便只有某些用戶可以物理訪問給定的 EC2 實例。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.