Политика AWS IAM для предоставления всех разрешений на обслуживание определенным экземплярам

Question

Я настроил отдельных пользователей IAM из корневой учетной записи с различными уровнями привилегий, и мне нужно предоставить доступ ко всем службам EC2 для 2 конкретных экземпляров конкретному пользователю IAM

Я использовал генератор политик AWS и получил приведенную ниже политикуно это не работает

{
  "Version": "2012-10-17",
  "Statement": [
{
  "Action": "ec2:*",
  "Effect": "Allow",
  "Resource": [
    "arn:aws:ec2:us-east-1:ACCOUNT_ID:instance/INSTANCE_ID",
    "arn:aws:ec2:us-east-1:ACCOUNT_ID:instance/INSTANCE_ID"
  ]
}
  ]
}

Как я могу предоставить разрешение конкретным экземплярам, ​​чтобы пользователь IAM мог управлять только этими конкретными экземплярами, не обращаясь к каким-либо другим экземплярам или службам.

Answer 1

Вы можете достичь этого с помощью тегов.Как указано в Документах AWS , вы можете попробовать следующую политику.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Owner": "Bob"
                }
            },
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        }
    ]
}