我想:
- 创建 IAM 用户
- 限制该用户只能对单个 EC2 实例进行完全管理。
示例:虽然 AWS EC2 帐户有 10 个实例,但新用户 UserA 可以启动或停止 InstanceA,但不能在该帐户上执行任何其他操作(不能启动实例、不能处理卷等)。
有没有一种简单的方法可以让单个用户完全访问这样的单个资源,但不能访问其他任何资源?
答案1
实际上,EC2 实例做有一个 ARN。EC2 中的每个资源都有一个 ARN。实例 ARN 的示例如下:
arn:aws:ec2:区域:帐户:实例/实例 ID
您可以授予特定用户对特定实例 ID 的访问权限。您可以包含允许用户运行的操作。
答案2
EC2 实例没有“Amazon 资源名称”(ARN),因此您无法编写 IAM 策略来允许用户访问单个实例。
如果我可以建议另一种方法。处理此类请求的最简单方法可能是授予用户对实例的 SSH 访问权限,并允许他们使用 sudo 执行您希望他们能够执行的命令,例如重新启动。
编辑:忘了提及在线有一个非常好用的 AWS Policy Generator 工具,它非常有用。http://awspolicygen.s3.amazonaws.com/policygen.html