Amazon web services 如何简明地编写一个策略,根据标记控制对AmazonEC2资源的访问
我有一个名为devops的IAM组,我希望向该组应用一个策略,该策略将授予该组成员对标记为Class=devops的EC2实例的完全访问权限,而不对任何其他EC2实例的访问权限。我在亚马逊上找到了这篇很棒的知识中心文章,它让我走上了正确的道路: 我所看到的问题源于该页一半的注释: 完全控制扩展到EC2命名空间中的所有操作,但当前不支持资源级别权限的Amazon EC2 API操作除外。有关更多信息,请参阅AmazonEC2API参考中的 如果你按照便笺中的链接到,你会发现它有几十个条目。您还可以找到以下语句: IAM策略中可以使用所有Amazon EC2操作来授予或拒绝用户使用该操作的权限。但是,并非所有AmazonEC2操作都支持资源级权限,这使您能够指定可以执行操作的资源。以下Amazon EC2 API操作当前不支持资源级权限;因此,要在IAM策略中使用这些操作,必须通过在语句中使用*通配符为资源元素授予用户使用该操作的所有资源的权限。 以便将“允许”权限授予所有这些Amazon web services 如何简明地编写一个策略,根据标记控制对AmazonEC2资源的访问,amazon-web-services,amazon-ec2,Amazon Web Services,Amazon Ec2,我有一个名为devops的IAM组,我希望向该组应用一个策略,该策略将授予该组成员对标记为Class=devops的EC2实例的完全访问权限,而不对任何其他EC2实例的访问权限。我在亚马逊上找到了这篇很棒的知识中心文章,它让我走上了正确的道路: 我所看到的问题源于该页一半的注释: 完全控制扩展到EC2命名空间中的所有操作,但当前不支持资源级别权限的Amazon EC2 API操作除外。有关更多信息,请参阅AmazonEC2API参考中的 如果你按照便笺中的链接到,你会发现它有几十个条目。您还可以
如果我想将此策略中的权限授予所有不支持资源级别权限的操作,我的策略将有数百行!有更好更简洁的方法吗?有一个简单的捷径。很多动作都是从同一个词开始的,比如“描述”。您可以使用通配符覆盖此列表。示例,操作:ec2:描述* 只需小心那些会覆盖其他拒绝特定资源操作的策略部分的操作