IAMユーザーまたはグループの特定のAmazon EC2リソースまたはEC2リソースのグループへのアクセスを制限します。同じAWSアカウント上の複数のリソースグループに対してこれを実行します。どのようにすればよいですか?

これは、EC2内のすべてのAPIアクションに対して現在可能ではありませんが、一部のAPIアクションに対しては可能です。多くの不可欠なEC2アクションは、リソースレベルのパーミッションまたは条件をサポートしていません。また、AWSリージョン以外の基準でIAMユーザーまたはユーザーグループのEC2リソースへのアクセスを分離することは、ほとんどのユースケースに適していません。

代わりに、AWS Organizationsを通じて複数の異なるAWSアカウントをリンクし、自分のアカウントでIAMユーザーグループを分離することを検討してください。

地域別または同じアカウント上の条件別にリソースを分離する必要がある場合は、まず、リソースレベルの権限をサポートするEC2アクションのリストを確認します。そして、ユースケースがこのソリューションをサポートしているかどうかを確認するために、サポートする条件を確認します。

次に、以下のようなIAMポリシーを作成します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Owner": "Bob"
                }
            },
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        }
    ]
}

注:同様のポリシーをIAMユーザーまたはグループにアタッチすると、タグキーまたは米国東部(N.バージニア州 )の[us-east-1]リージョンのBob、Value of Ownerを有する開始や停止や再起動 EC2インスタンスにのみアクセスが制限されます。

最後に、IAMユーザーのグループごとに異なるリージョンを使用して、同様のポリシーを作成します。


このページは役に立ちましたか? はい | いいえ

AWS サポートナリッジセンターに戻る

サポートが必要ですか?AWS サポートセンターをご覧ください。

公開日: 2016 年 07 月 20 日

更新: 2017 年 08 月 26 日