Amazon ec2 如何使用instancetype t2.micro创建ec2 cloudformation的策略
我正在尝试创建一个策略,其中一些用户可以在具有特定存储(如8gb)的特定区域中使用amid:ami-0fc61db8544a617ed-specific和instancetype:t2.micro启动实例 我有这个模板Amazon ec2 如何使用instancetype t2.micro创建ec2 cloudformation的策略,amazon-ec2,amazon-cloudformation,Amazon Ec2,Amazon Cloudformation,我正在尝试创建一个策略,其中一些用户可以在具有特定存储(如8gb)的特定区域中使用amid:ami-0fc61db8544a617ed-specific和instancetype:t2.micro启动实例 我有这个模板 AWSTemplateFormatVersion: 2010-09-09 Description: --- Policita para usuarios test Parameters: GroupTest1Parameter:
AWSTemplateFormatVersion: 2010-09-09
Description: ---
Policita para usuarios test
Parameters:
GroupTest1Parameter:
Type: String
Default: GroupTest1
Description: Este es el valor de entrada GroupTest1Parameter
Resources:
PolictyTest1:
Type: AWS::IAM::Policy
Properties:
PolicyName: PolictyTest1
Groups:
- Fn::ImportValue: !Sub "${GroupTest1Parameter}-VPCID"
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- 'ec2:RunInstances'
- 'cloudformation:Describe*'
- 'cloudformation:List*'
- 'cloudformation:Get*'
Resource: 'arn:aws:ec2:*:*:instance/*'
# Condition:
# StringEquals:
# ec2:ImageType: ami-0fc61db8544a617ed
Outputs:
PolictyTest1:
Description: politica que deniega
Value: !Ref PolictyTest1
Export:
Name: !Sub "${AWS::StackName}-VPCID"
但它不起作用。模板创建得很好,但当我试图使用与此策略相关的用户测试来测试te策略时,他无法启动ec2实例
我在读书
为了测试您的场景,我做了以下操作:
- 创建了一个IAM用户
- 已将此联机策略分配给用户:
帐户
设置为我的AWS帐户ID。)
然后,我能够使用以下方法成功启动t2.micro
实例:
aws ec2 run-instances --image-id ami-xxx --security-group-id sg-xxx --instance-type t2.micro
我尝试将其更改为t2.nano
,但收到了未经授权操作
错误
请注意,上面的runinstances
命令非常简单。它故意不尝试指定以下内容:
- IAM角色
- 标签
- 钥匙对
这些项目需要向用户授予其他权限。因此,在测试策略时,请使用一组最低要求(类似于上述要求)来测试策略。为了测试您的场景,我执行了以下操作:
- 创建了一个IAM用户
- 已将此联机策略分配给用户:
帐户
设置为我的AWS帐户ID。)
然后,我能够使用以下方法成功启动t2.micro
实例:
aws ec2 run-instances --image-id ami-xxx --security-group-id sg-xxx --instance-type t2.micro
我尝试将其更改为t2.nano
,但收到了未经授权操作
错误
请注意,上面的runinstances
命令非常简单。它故意不尝试指定以下内容:
- IAM角色
- 标签
- 钥匙对
这些项目需要向用户授予其他权限。因此,在测试您的策略时,请使用一组最低要求(类似于上述要求)来测试策略。
t2.micro
在较新的地区不可用,如eu-north-1
,ap-east-1
,me-south-1
,和us-gov-east-1
我不是问t2.micro哪里不可用。t2.micro
在较新的地区不可用,如eu-north-1
,ap-east-1
,me-south-1
和us-gov-east-1
我不是问t2.micro哪里不可用。正如我所述,我希望所有拥有该策略的用户都使用该策略。我是否可以使用arn:aws:ec2:::::::::::subnet/*而不是arn:aws:ec2:::::ACCOUNT:subnet/*?如果我想启动Wizzard,这也不起作用“启动向导”是什么意思?如果这是一项要求,请将其添加到您的问题中。如我所述,我希望所有拥有该策略的用户都使用该策略。我是否可以使用arn:aws:ec2:::::::::::subnet/*而不是arn:aws:ec2:::::ACCOUNT:subnet/*?如果我想启动Wizzard,这也不起作用“启动向导”是什么意思?如果这是一项要求,请将其添加到您的问题中。