je travaille sur un projet hébergé dans AWS. La console a accès par plusieurs utilisateurs. J'ai créé une stratégie IAM qui permet aux utilisateurs spécifiques de créer des instances et des volumes, mais ils ne doivent pas accéder à des instances existantes dans la console ayant une ID d'instance spécifique.
Ma politique personnalisée est comme suit mais ne fonctionne pas comme prévu: < / p>
3 Réponses :
Si vous souhaitez contrôler cet autre utilisateur IAM, vous ne pouvez pas voir les instances créées par d'autres utilisateurs iam, cela n'est pas possible, comme décrit les instances API n'accepte pas les autorisations de niveau de ressource.
Cependant, vous avez une option pour limiter un IAM Utilisateur à effectuer des actions (démarrage / arrêt / redémarrage ... etc.) sur les instances créées par un autre utilisateur.
https://aws.amazon.com/premiumsupport/knowledge-center/restrict-ec2-iam/
Essayez d'utiliser ceci: Assurez-vous que votre instance a la paire de valeur de clés de balise requise
, J'ai modifié la politique en utilisant, j'essaie d'autoriser l'utilisateur à exécuter une instance, mais H / elle ne doit pas démarrer, arrêter ou redémarrer des instances créées par l'utilisateur admin / racine. Vérifiez l'objet JSON que vous utilisez ci-dessus .. ne fonctionne toujours pas.
Avez-vous essayé d'utiliser l'effet de refuge avec l'action EC2: décrypinstances Si les chaînes ne sont pas égales AWS: UserID ou AWS: nom d'utilisateur, ajout d'une politique en ligne au rôle attaché aux instances.
Merci de l'aide , J'ai modifié la politique d'utilisation, j'essaie d'autoriser l'utilisateur à exécuter une instance, mais H / elle ne doit pas démarrer, arrêter ou redémarrer des instances créées par l'utilisateur admin / racine. Vérifiez l'objet JSON que vous utilisez ci-dessus .. ne fonctionne toujours pas.
Est-ce que la politique qui s'applique à ces utilisateurs particuliers? Un deny remplacera un autorisera . Ainsi, à moins qu'ils ne reçoivent autoriser autorisation de démarrer / arrêter / redémarrer, le refuge ne fera rien. Quand vous dites "toujours ne fonctionne pas", qu'avez-vous fait et que s'est-il passé?
Par conséquent, ces deux autorisations n'utiliseront pas une condition spécifiant un identifiant d'instance.
Autoriser l'autorisation d'afficher des instances Amazon EC2 dans la console de gestion, utilisez Si vous souhaitez limiter ces informations à partir d'utilisateurs, vous devez donc créer votre propre code "entre-intermédiaire" qui filtre les informations (alors ils appellent votre code, qui récupère toutes les instances mais renvoie uniquement des instances), Ou vous pouvez utiliser EC2: CreeveVolume Autorisation de la création d'un volume Amazon EBS. L'acte de créer un volume n'est pas liée à une instance Amazon EC2. Un volume n'est associé qu'à une instance via le AttachTvolume commande.
EC2: Runinstances Autorisation de la permission de lancer Nouveautés Amazon EC2 instances. Il n'est pas lié aux instances existantes.
EC2: décrypinstances . Toutefois, un utilisateur disposera d'une autorisation de liste tous les cas ou aucun . Il n'est pas possible de limiter les instances renvoyées par un décrypinstances () appel.
Merci de l'aide , J'ai modifié la politique d'utilisation, j'essaie d'autoriser l'utilisateur à exécuter une instance, mais H / elle ne doit pas démarrer, arrêter ou redémarrer des instances créées par l'utilisateur admin / racine. Vérifiez l'objet JSON que vous utilisez ci-dessus .. ne fonctionne toujours pas.