Как я могу разрешить пользователям создавать экземпляры ec2 только в разрешенном su bnet? - PullRequest
Новая
       87

Как я могу разрешить пользователям создавать экземпляры ec2 только в разрешенном su bnet?

1 голос
/ 13 апреля 2020

Я хочу разрешить пользователям запускать / останавливать экземпляры ec2 только в разрешенных подсетях, но следующий код не работает: 

{
    "Effect": "Allow",
    "Action": [
        "ec2:RunInstances",
        "ec2:TerminateInstances",
        "ec2:StopInstances",
        "ec2:StartInstances",
        "ec2:RunScheduledInstances",
        "ec2:UnmonitorInstances"
    ],
    "Resource": [
        "*"
    ],
    "Condition": {
        "ForAnyValue:ArnEquals": {
            "ec2:Subnet": [
                "arn:aws:ec2:*:*:subnet/subnet-*******",
                "arn:aws:ec2:*:*:subnet/subnet-*******",
                "arn:aws:ec2:*:*:subnet/subnet-*******"
            ]
        }
    }
}

1 Ответ

2 голосов
/ 13 апреля 2020

Эта политика позволит пользователям запускать только экземпляры EC2 в заданном c su bnet как программно, так и через консоль: 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                    "ec2:RunInstances",
                    "ec2:TerminateInstances",
                    "ec2:StopInstances",
                    "ec2:StartInstances",
                    "ec2:RunScheduledInstances",
                    "ec2:UnmonitorInstances"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/subnet-******",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*",
                "arn:aws:ec2:*::image/ami-*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        }
    ]
}

Адаптировано из этого примера

...