[英]AWS IAM Policy to restrict Read Acces on EC2 instances
我正在嘗試創建 AWS IAM 策略來限制對 EC2 實例的讀取訪問。
目標:我在 AWS 中有許多 EC2 實例和許多不同的用戶,我希望有一組用戶只能看到特定的 EC2 實例而不是所有實例。
有沒有可能這樣做?
我試圖通過標記實例來限制訪問,但如果我看對了,Describe* API 不能受條件限制,而不是受資源限制。
不幸的是,唯一干凈的方法是擁有多個 AWS 賬戶(最好在一個Organization 下),然后將不同的用戶組限制為不同的賬戶。
一些(但不是全部)操作支持資源級權限,因此您可以編寫如下所示的策略來限制 IAM 用戶可以啟動/停止/重啟的 EC2 實例:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Environment": "Staging"
}
},
"Resource": [
"arn:aws:ec2:us-east-1:123456789012:instance/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
]
}
此外,您可以限制 SSH 密鑰對或 Windows 憑證的分發,以便只有某些用戶可以物理訪問給定的 EC2 實例。
編寫IAM策略以通過EC2標簽將AWS SSM連接限制到EC2實例
[英]Writing an IAM policy to restrict AWS SSM connections to EC2 instances by EC2 tags
AWS IAM 策略通過 ec2-instance-connect 限制對特定 ec2 實例的訪問
[英]AWS IAM policy to restrict access to specific ec2 instances via ec2-instance-connect
在 AWS 中創建 IAM 策略以保護具有特定 ID 的 EC2 實例
[英]Creating IAM policy in AWS to protect EC2 instances with specific IDs
IAM策略,用於限制用戶將EC2實例啟動到特定VPC中
[英]IAM Policy to restrict users from launching EC2 instances into a particular VPC
AWS IAM政策。 允許用戶僅刪除他們創建的ec2實例
[英]AWS IAM policy. Allow user to delete only the ec2 instances that they created
AWS IAM 策略拒絕對自動擴展組或 ECS 集群內的任何 EC2 實例的權限
[英]AWS IAM policy to deny permissions to any EC2 instances inside of autoscaling group or ECS cluster
在不同 AWS 賬戶中啟動和停止 EC2 實例的 IAM 策略/角色設置
[英]IAM policy/role setup for Start and Stop EC2 instances in a different AWS account
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.