仅授予一个 EC2 实例权限?
Give permissions to just one EC2 instance?
我的 AWS 亚马逊账户中有多个 EC2 实例。我有一个我希望外包商使用的特定 EC2 实例(停止、启动、管理安全组、调整磁盘大小 space 等)。
我尝试使用 IAM 策略执行此操作,但据我所知,DescribeInstances 允许用户查看我帐户中的所有实例。当我尝试编辑特定资源的策略时,它显示错误,因为它 DescribeInstances 不是资源级策略,因此它必须具有资源“*”。
我在想也许允许他访问不同的区域,并将实例放在那里。另一种选择是使用组织(有点复杂,但看起来很有希望,很乐意了解这是否可行)。
我错过了什么吗?实现我需要的最佳解决方案是什么?
如果您想授予外包商调用您账户中的 AWS 服务的权限,那么从安全角度,把那些子帐户中的资源。
这样,您就可以保证他们的凭据不会影响您的任何其他资源和服务。
备选方案太复杂而难以管理。例如,一个安全组可以关联多个实例,一个实例可以有多个安全组。这不可能在 IAM 策略中进行编码。
我的 AWS 亚马逊账户中有多个 EC2 实例。我有一个我希望外包商使用的特定 EC2 实例(停止、启动、管理安全组、调整磁盘大小 space 等)。
我尝试使用 IAM 策略执行此操作,但据我所知,DescribeInstances 允许用户查看我帐户中的所有实例。当我尝试编辑特定资源的策略时,它显示错误,因为它 DescribeInstances 不是资源级策略,因此它必须具有资源“*”。
我在想也许允许他访问不同的区域,并将实例放在那里。另一种选择是使用组织(有点复杂,但看起来很有希望,很乐意了解这是否可行)。
我错过了什么吗?实现我需要的最佳解决方案是什么?
如果您想授予外包商调用您账户中的 AWS 服务的权限,那么从安全角度,把那些子帐户中的资源。
这样,您就可以保证他们的凭据不会影响您的任何其他资源和服务。
备选方案太复杂而难以管理。例如,一个安全组可以关联多个实例,一个实例可以有多个安全组。这不可能在 IAM 策略中进行编码。