Amazon Web Services - Wie kann ich mit IAM einen einzelnen Benutzer auf die Verwaltung einer einzelnen EC2-Instanz beschränken?

7

Ich würde gerne:

  1. Erstellen Sie einen IAM-Benutzer
  2. Beschränken Sie diesen Benutzer so, dass er nur über eine einzelne EC2-Instanz vollständig verwaltet werden kann.

Beispiel: Während das AWS EC2-Konto 10 Instanzen hat, kann der neue Benutzer UserA InstanceA starten oder stoppen, aber nichts anderes für das Konto tun (kein Starten von Instanzen, kein Durcheinander mit Volumes usw.).

Gibt es eine einfache Methode, um einem einzelnen Benutzer vollen Zugriff auf eine einzelne Ressource wie diese zu gewähren, aber keinen Zugriff auf etwas anderes?

Brian Webster
quelle
2
Dies kann von Nutzen sein. 8. Juli 2013 Artikel: blogs.aws.amazon.com/security/post/Tx29HCT3ABL7LP3/…

Antworten:

6

Eigentlich EC2 - Instanzen tun eine ARN haben. Jede Ressource in EC2 verfügt über eine ARN. Ein Beispiel für eine Instanz-ARN lautet wie folgt:

arn: aws: ec2: region: account: instance / instance-id

Sie können einem bestimmten Benutzer Zugriff auf eine bestimmte Instanz-ID gewähren. Sie können Aktionen einschließen, die der Benutzer ausführen darf.

Ressourcen und Aktionen sowie Bedingungen finden Sie unter http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html#ec2-supported-iam-actions-resources .

Steve
quelle
5

EC2-Instanzen haben keinen "Amazon Resource Name" (ARN), sodass Sie keine IAM-Richtlinie schreiben können, um einem Benutzer den Zugriff auf eine einzelne Instanz zu ermöglichen.

Wenn ich einen anderen Ansatz vorschlagen kann. Der einfachste Weg, diese Art von Anforderung zu verarbeiten, besteht wahrscheinlich darin, dem Benutzer SSH-Zugriff auf die Instanz zu gewähren und ihm zu erlauben, die Befehle zu sudo, die er ausführen soll, z. B. einen Neustart.

BEARBEITET: Ich habe vergessen zu erwähnen, dass es online ein nettes AWS Policy Generator-Tool gibt, das sehr hilfreich ist. http://awspolicygen.s3.amazonaws.com/policygen.html

EDIT: Dies ist jetzt möglich. http://blogs.aws.amazon.com/security/post/Tx29HCT3ABL7LP3/Resource-level-Permissions-for-EC2-Controlling-Management-Access-on-Specific-Ins

Eric Van Joshnon
quelle