【问题标题】:Creating IAM policy in AWS to protect EC2 instances of root users在 AWS 中创建 IAM 策略以保护根用户的 EC2 实例
【发布时间】:2020-05-14 15:04:04
【问题描述】:

在 AWS 上工作并正在创建一个策略,用户应该创建自己的实例,但不应启动、停止或重启 由 admin/root 用户创建的实例。当我将策略附加到用户后对其进行测试时,它不起作用,因为用户没有 能够创建一个实例。请帮忙?

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
          "Action":[
            "ec2:RunInstances"
         ],
         "Resource":"*"
      },
      {
         "Effect":"Deny",
         "Action":[
            "ec2:StartInstances",
            "ec2:StopInstances",
            "ec2:RebootInstances"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ec2:ResourceTag/Owner":"Admin"
            }
         }
      }
   ]
}

【问题讨论】:

  • “不起作用”是什么意思?是否有任何错误消息?
  • 用户是否选择了用于实例的 IAM 角色?如果是这样,他们还需要iam:PassRole 权限,但在编写此策略时要小心,因为如果允许他们承担每个 IAM 角色,他们可能会间接获得管理员级别的权限。

标签: amazon-web-services amazon-iam aws-security-group


【解决方案1】:

ec2:RunInstances 可能不足以创建一个实例。例如,您需要描述 AMI 来选择它们。我建议为 EC2 提供 List 和 Read 权限。

您能告诉我您收到的错误消息是什么,或者您在改进政策时坚持的地方吗?

以下权限应该可以帮助您解决问题。

【讨论】:

  • ,,我收到此错误 描述您选择的 AMI 时发生错误 您无权执行此操作。
  • 啊,是的,您需要 List 和 Read 权限,对于您的用例,提供它并没有什么坏处。一旦你拥有List 权限,你就可以开始了。我更新了答案
猜你喜欢
  • 2021-10-06
  • 2020-05-14
  • 1970-01-01
  • 1970-01-01
  • 2019-08-06
  • 1970-01-01
  • 2019-07-13
  • 1970-01-01
  • 1970-01-01
相关资源
最近更新 更多