Как ограничить политику IAM, чтобы не разрешать остановку / завершение экземпляра EC2, но могут создавать новые экземпляры?

Question

Как ограничить политику IAM, чтобы не разрешать остановку / завершение экземпляра EC2, но могут создавать новые экземпляры?

Я хочу создать политику IAM, которая ограничит группу или пользователей остановкой / завершением двух используемых экземпляров EC2, но они могут создавать свои собственные экземпляры EC2. Для этого я использовал следующее заявление о политике:

{
        "Sid": "Stmt1449662318000",
        "Effect": "Allow",
        "Action": [
            "ec2:*"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Sid": "Stmt1449662339000",
        "Effect": "Deny",
        "Action": [
            "ec2:*"
        ],
        "Resource": [
            "arn:aws:ec2::myAcctId:instance/i-4a36178ef",
            "arn:aws:ec2::myAcctId:instance/i-9e3fb747"
        ]
    }

Но это работает неправильно. Это позволяет другому пользователю / группе остановить мои уже использованные 2 экземпляра. Как этого добиться?

0

amazon-ec2 amazon-web-services amazon-iam

задан Deepali 9 December 2015 в 14:25

Ссылка

1 ответ

Похожие вопросы

score 0 · Answer 1 · 5 December 2019 в 11:18

Я смог этого добиться, добавив в политику следующее утверждение:

{
      "Action": "ec2:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition" : {
                    "StringNotEquals" : {
                        "ec2:ResourceTag/Name" : [
                                        "UAT-Environment",
                                        "INT-Environment"
                                      ]
                            }
                    }
    }

Как ограничить политику IAM, чтобы не разрешать остановку / завершение экземпляра EC2, но могут создавать новые экземпляры?

Теги

Похожие вопросы