我们需要通过 AWS 控制台将多个实例的管理委托给我们的一位客户。为此,我们创建了一个新的 IAM 组。
我们需要该组仅列出和修改特定的 EC2 实例,例如使用标签。我们尝试使用只读 ec2 模板,并通过添加以下内容对其进行修改:
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Tenant": "clientname"
}
}
},...
不幸的是,这导致 AWS 控制台显示“您无权描述正在运行的实例”,并且没有显示任何实例,尽管存在正确的标签。请告知我们如何根据标签或其他方法(例如 VPC ID)过滤实例列表。
答案1
这不可能。亚马逊支持人员对此进行了回答:
不幸的是,没有办法只查看特定实例(基于 ec2-tag、vpc id 等)。“ec2:Describe*”API 操作不支持任何条件或资源级 ARN。但是,您可以制定一项策略,让所有 IAM 组都能够查看所有实例,但只能对具有特定标签的实例执行启动、停止、重启和终止实例等操作