如何创建可以为我创建 ec2 实例的 AWS 用户?

How do I create an AWS user who can create an ec2 instance for me?

我已经将一些服务的开发外包给了另一家公司,现在我需要另一家公司能够代表我创建一个 ec2 实例。

我还有其他不希望公司查看和更改的实例。

我知道如何创建 IAM 用户,但我不知道如何创建正确的策略来为该用户提供对 ec2 的访问权限以及创建和管理实例,he/she 已创建,而无需访问其他实例。

是否可行?如果可行,该政策如何?

谢谢

托马斯

这不是一个简单的答案。创建实例需要调用 RunInstances 命令的权限,但还需要使用关联的安全组和 AMI 的权限。另一家公司也可能希望能够查看他们已启动的实例的详细信息,并且能够 Start/Stop 它。

事实上,如果您拒绝查看现有 EC2 实例的权限,EC2 管理控制台将无法正常工作。

可以授予特定于资源的权限,这只允许影响特定实例(或 VPC、AMI 等)的调用。因此,RunInstances 命令可以限制为特定的 AMI、密钥对、快照、子网等。然后 StopInstances 命令可以限制为它们创建的实例(但您需要 ID,所以你只能在实例启动后授予它。

另外,请注意,启动实例需要身份和访问管理 (IAM) 中的权限,这与 登录 实例的权限是分开的。

建议: 最安全的做法可能是您为他们启动实例,然后为他们提供登录实例以执行其工作的权限。如果他们需要更多访问您的 AWS 账户的权限,则可能需要确定他们 should/shouldn 无权访问哪些资源。

参见: