В моей учетной записи AWS у нас есть 3 различных приложения, A, B, C.
Я хочу создать меня, политика для команды B, которая позволяет им создавать новые экземпляры EC2, но ограничивать ее, чтобы быть отмеченными в группе ресурсов B или некотором другом ограничении, которое может окончательно связать тот новый экземпляр с группой B. Это возможно?
Да, это абсолютно возможно с IAM, используя элемент Condition
. Элемент Condition позволяет создавать выражения, в которых вы можете использовать логические операторы для сопоставления с условием, которое в вашем случае будет ресурсом с определенным тегом.
Например, если вы пометите все ресурсы приложения B с помощью "GroupB" ", приведенная ниже политика IAM ограничивает пользователя возможностью запускать, останавливать и перезагружать только ресурсы EC2 с этим тегом:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/GroupB":"true"
}
},
"Resource": [
"arn:aws:ec2:your_region:your_account_ID:instance/*"
],
"Effect": "Allow"
}
]
}
Дополнительную информацию о группах ресурсов можно найти на AWS "Что такое группы ресурсов" страница.