Amazon web services 组中的用户可以创建、删除和修改Amazon Ec2实例的IAM策略
我已经在AWS帐户中创建了一个组,并向组中添加了几个用户。我的要求是,我希望允许来自指定组的用户创建、描述、启动、停止和重新启动实例。我已经在下面写了同样的政策。但该策略仅适用于启动、停止、修改和重新启动实例,而不适用于创建实例。你能帮我解决这个问题吗Amazon web services 组中的用户可以创建、删除和修改Amazon Ec2实例的IAM策略,amazon-web-services,amazon-iam,Amazon Web Services,Amazon Iam,我已经在AWS帐户中创建了一个组,并向组中添加了几个用户。我的要求是,我希望允许来自指定组的用户创建、描述、启动、停止和重新启动实例。我已经在下面写了同样的政策。但该策略仅适用于启动、停止、修改和重新启动实例,而不适用于创建实例。你能帮我解决这个问题吗 { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "ec2:Start
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances",
"ec2:Describe*"
],
"Resource":[
"arn:aws:ec2:us-east-1:xxxxxxxxxx:instance/*"
],
"Condition":{
"StringEquals":{
"ec2:ResourceTag/Owner":"Test"
}
}
}
]
}
您需要添加
ec2:RunInstances{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances",
"ec2:Describe*"
],
"Resource":[
"arn:aws:ec2:us-east-1:xxxxxxxxxx:instance/*"
],
"Condition":{
"StringEquals":{
"ec2:ResourceTag/Owner":"Test"
}
}
}
]
}
可以找到所有EC2操作您可能需要分配额外的权限以允许创建新实例。这是因为启动实例涉及AMI、安全组,并且可能传递IAM角色。此外,如果用户是通过EC2管理控制台执行此操作,则他们需要列出各种资源(专有网络、子网、角色、安全组)的权限。请参阅:@GreenyMcDuff感谢您的回答。此外,附加此策略后,是否会限制其他组中具有相同权限的用户在不同角色中不修改我的资源(查看、删除、启动、停止、终止)?