Amazon web services 我们如何限制IAM用户仅通过Cloudformation启动EC2实例和VPC？_Amazon Web Services_Amazon Ec2_Amazon Cloudformation_Amazon Iam_Aws Iam

Amazon web services 我们如何限制IAM用户仅通过Cloudformation启动EC2实例和VPC？

amazon-web-services amazon-ec2 amazon-cloudformation

Amazon web services 我们如何限制IAM用户仅通过Cloudformation启动EC2实例和VPC？,amazon-web-services,amazon-ec2,amazon-cloudformation,amazon-iam,aws-iam,Amazon Web Services,Amazon Ec2,Amazon Cloudformation,Amazon Iam,Aws Iam,我们如何限制IAM用户仅通过Cloudformation启动EC2实例和VPC。我不希望用户直接通过控制台启动EC2实例和VPC。两个选项：在AWS CloudFormation中使用角色启动CloudFormation堆栈时，可以指定角色。此角色可以拥有启动堆栈所需的权限，即使用户没有该权限见：使用AWS服务目录 AWS服务目录允许您创建用户可以启动的产品组合。它使用角色来启动服务，即使用户自己没有启动服务的权限请参阅：在AWS CloudFormation中使用角色，那么您的意思是

我们如何限制IAM用户仅通过Cloudformation启动EC2实例和VPC。我不希望用户直接通过控制台启动EC2实例和VPC。

两个选项：

在AWS CloudFormation中使用角色

启动CloudFormation堆栈时，可以指定角色。此角色可以拥有启动堆栈所需的权限，即使用户没有该权限

见：

使用AWS服务目录

AWS服务目录允许您创建用户可以启动的产品组合。它使用角色来启动服务，即使用户自己没有启动服务的权限

请参阅：

在AWS CloudFormation中使用角色，那么您的意思是我必须使用root帐户创建一个角色，用户可以在启动堆栈时指定该角色？正确。用户需要

iam:PassRole

权限才能在启动堆栈时选择角色。权限的最佳配置是，使其只能在CloudFormation中使用该角色，或使用该特定堆栈，以便它们不能单独承担该角色并启动EC2资源。