Я пытаюсь создать политику с разрешением для запуска мастера ec2 из Интернета и облачной информации с указанием c imageid, введите экземпляр t2.micro для любого пользователя, с которым связана политика. Мне нужно создать экземпляр ec2 с помощью веб-браузера, запускающего wizzard или cloudformation (я уже говорил об этом) no aws cli, я не говорил, что до
у меня есть этот шаблон
---
AWSTemplateFormatVersion: '2010-09-09'
Description: ---
Policita para usuarios test
Parameters:
GroupTest1Parameter:
Type: String
Default: GroupTest1
Description: Este es el valor de entrada GroupTest1Parameter
Resources:
PolictyTest1:
Type: AWS::IAM::Policy
Properties:
PolicyName: PolictyTest1
Groups:
- Fn::ImportValue: !Sub "${GroupTest1Parameter}-VPCID"
PolicyDocument:
Version: '2012-10-17'
Statement:
- Effect: Allow
Action:
- ec2:DescribeInstances
- ec2:DescribeImages
- ec2:DescribeKeyPairs
- ec2:DescribeVpcs
- ec2:DescribeSubnets
- ec2:DescribeSecurityGroups
- ec2:CreateSecurityGroup
- ec2:AuthorizeSecurityGroupIngress
- ec2:CreateKeyPair
Resource: '*'
- Effect: Allow
Action: ec2:RunInstances
Resource:
- arn:aws:ec2:us-east-1:*:network-interface/*
- arn:aws:ec2:us-east-1:*:volume/*
- arn:aws:ec2:us-east-1:*:key-pair/*
- arn:aws:ec2:us-east-1:*:security-group/*
- arn:aws:ec2:us-east-1:*:subnet/*
- arn:aws:ec2:sa-east-1::image/ami-*
- arn:aws:ec2:us-east-1:*:instance/*
- Effect: Allow
Action: ec2:RunInstances
Resource: arn:aws:ec2:us-east-1:*:instance/*
Condition:
StringEquals:
ec2:InstanceType": t2.micro
Outputs:
PolictyTest1:
Description: politica que deniega
Value: !Ref PolictyTest1
Export:
Name: !Sub "${AWS::StackName}-VPCID"
Я использую это как ссылку aws doc https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
, но когда я пытаюсь запустить wizzard от пользователя, который использует эту политику, я получаю эту ошибку
You are not authorized to perform this operation. Encoded authorization failure message: (encripted code)
Hide launch log
Creating security groups
Successful (sg-918298001)
Authorizing inbound rules
Successful
Initiating launches
FailureRetry
что мне не хватает? Я понял, когда у меня есть
Действие: ec2: RunInstances Ресурс: '*'
Everythig работает нормально, но когда я устанавливаю указанные ресурсы, я получаю ошибку, как я упоминал ниже.
Я пытаюсь следовать этому примеру
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:CreateKeyPair",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups",
"ec2:CreateSecurityGroup",
"ec2:AuthorizeSecurityGroupIngress"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action":"ec2:RunInstances",
"Resource": [
"arn:aws:ec2:sa-east-1:111122223333:network-interface/*",
"arn:aws:ec2:sa-east-1:111122223333:volume/*",
"arn:aws:ec2:sa-east-1:111122223333:key-pair/*",
"arn:aws:ec2:sa-east-1:111122223333:security-group/*",
"arn:aws:ec2:sa-east-1:111122223333:subnet/subnet-1a2b3c4d"
]
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:sa-east-1:111122223333:instance/*"
],
"Condition": {
"StringEquals": {
"ec2:InstanceType": "t2.micro"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:sa-east-1::image/ami-*"
],
"Condition": {
"StringEquals": {
"ec2:Owner": "amazon"
}
}
}
]
}
, что это от https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
(Ограничить доступ к указанному c типу экземпляра, su bnet и регион)