【发布时间】:2020-05-14 15:04:04
【问题描述】:
在 AWS 上工作并正在创建一个策略,用户应该创建自己的实例,但不应启动、停止或重启 由 admin/root 用户创建的实例。当我将策略附加到用户后对其进行测试时,它不起作用,因为用户没有 能够创建一个实例。请帮忙?
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"ec2:RunInstances"
],
"Resource":"*"
},
{
"Effect":"Deny",
"Action":[
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Resource":"*",
"Condition":{
"StringEquals":{
"ec2:ResourceTag/Owner":"Admin"
}
}
}
]
}
【问题讨论】:
-
“不起作用”是什么意思?是否有任何错误消息?
-
用户是否选择了用于实例的 IAM 角色?如果是这样,他们还需要
iam:PassRole权限,但在编写此策略时要小心,因为如果允许他们承担每个 IAM 角色,他们可能会间接获得管理员级别的权限。
标签: amazon-web-services amazon-iam aws-security-group