Я хотел бы создать роль IAM с такой политикой, чтобы он мог завершать только экземпляры EC2, а экземпляры, на которые он может влиять (то есть завершаться), принадлежат определенному тегу.
В настоящее время я использую AmazonEC2FullAccess, что дает гораздо больше разрешений, чем я хотел бы дать. Я бы предпочел, чтобы политика не имела возможность создавать или останавливать EC2.
Итак, мой вопрос: как мне создать политику IAM, которая разрешает только завершение EC2 и только EC2 определенного тега (т.е. что такое JSON для этой политики)?
Для справки, политика AmazonEC2FullAccess выглядит так
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "cloudwatch:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "autoscaling:*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"autoscaling.amazonaws.com",
"ec2scheduled.amazonaws.com",
"elasticloadbalancing.amazonaws.com",
"spot.amazonaws.com",
"spotfleet.amazonaws.com",
"transitgateway.amazonaws.com"
]
}
}
}
]
}