用于课堂内的 AWS IAM 角色

我正在尝试创建一个可在课堂上使用的 AWS IAM 角色。

目标是拥有一个用于集中计费的帐户，但每个学生都有一组凭证来登录 AWS 控制台，以便管理某些资源。例如，我希望用户能够根据官方 AMI 启动/停止 us-east-1 中大小为 t2.micro 或 t2.small 的 EC2 实例。

据我了解，这是情景 2https://d0.awsstatic.com/whitepapers/aws-setting-up-multiuser-environments-education.pdf。但是我找不到任何 IAM 策略的有效示例。

我尝试创建一个 IAM 来覆盖该场景，但它似乎没有按预期工作。当我尝试创建一个已接受的实例时，我收到有关创建 VPC 的错误。另一个也可以看到现有的密钥对/安全组。

重要的是，只有创建实例并查看/管理它们的用户。

以下是我尝试过的：

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeImages", "ec2:DescribeKeyPairs", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": [ "arn:aws:ec2:us-east-1:account:instance/*", "arn:aws:ec2:us-east-1:account:key-pair/*", "arn:aws:ec2:us-east-1:account:security-group/*", "arn:aws:ec2:us-east-1:account:network-interface/*", "arn:aws:ec2:us-east-1:account:volume/*" ] }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:us-east-1:account:instance/*", "arn:aws:ec2:us-east-1:account:key-pair/*", "arn:aws:ec2:us-east-1:account:security-group/*", "arn:aws:ec2:us-east-1:account:network-interface/*", "arn:aws:ec2:us-east-1:account:volume/*" ] }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:us-east-1:account:instance:instance/*" ], "Condition": { "StringEquals": { "ec2:InstanceType": "t1.small" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:us-east-1::image/ami-*" ], "Condition": { "StringEquals": { "ec2:Owner": "amazon" } } }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:StopInstances", "ec2:StartInstances" ], "Resource": "arn:aws:ec2:us-east-1:account:instance/*" } ] }

我假设帐户是一个特殊的关键字，指的是应用该策略的帐户。