Ich würde gerne:
- Erstellen Sie einen IAM-Benutzer
- Beschränken Sie diesen Benutzer so, dass er nur über eine einzelne EC2-Instanz vollständig verwaltet werden kann.
Beispiel: Während das AWS EC2-Konto 10 Instanzen hat, kann der neue Benutzer UserA InstanceA starten oder stoppen, aber nichts anderes für das Konto tun (kein Starten von Instanzen, kein Durcheinander mit Volumes usw.).
Gibt es eine einfache Methode, um einem einzelnen Benutzer vollen Zugriff auf eine einzelne Ressource wie diese zu gewähren, aber keinen Zugriff auf etwas anderes?
amazon-ec2
amazon-web-services
Brian Webster
quelle
quelle
Antworten:
Eigentlich EC2 - Instanzen tun eine ARN haben. Jede Ressource in EC2 verfügt über eine ARN. Ein Beispiel für eine Instanz-ARN lautet wie folgt:
arn: aws: ec2: region: account: instance / instance-id
Sie können einem bestimmten Benutzer Zugriff auf eine bestimmte Instanz-ID gewähren. Sie können Aktionen einschließen, die der Benutzer ausführen darf.
Ressourcen und Aktionen sowie Bedingungen finden Sie unter http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html#ec2-supported-iam-actions-resources .
quelle
EC2-Instanzen haben keinen "Amazon Resource Name" (ARN), sodass Sie keine IAM-Richtlinie schreiben können, um einem Benutzer den Zugriff auf eine einzelne Instanz zu ermöglichen.
Wenn ich einen anderen Ansatz vorschlagen kann. Der einfachste Weg, diese Art von Anforderung zu verarbeiten, besteht wahrscheinlich darin, dem Benutzer SSH-Zugriff auf die Instanz zu gewähren und ihm zu erlauben, die Befehle zu sudo, die er ausführen soll, z. B. einen Neustart.
BEARBEITET: Ich habe vergessen zu erwähnen, dass es online ein nettes AWS Policy Generator-Tool gibt, das sehr hilfreich ist. http://awspolicygen.s3.amazonaws.com/policygen.html
EDIT: Dies ist jetzt möglich. http://blogs.aws.amazon.com/security/post/Tx29HCT3ABL7LP3/Resource-level-Permissions-for-EC2-Controlling-Management-Access-on-Specific-Ins
quelle