IAMユーザーまたはグループの特定のAmazon EC2リソースまたはEC2リソースのグループへのアクセスを制限します。同じAWSアカウント上の複数のリソースグループに対してこれを実行します。どのようにすればよいですか?
これは、EC2内のすべてのAPIアクションに対して現在可能ではありませんが、一部のAPIアクションに対しては可能です。多くの不可欠なEC2アクションは、リソースレベルのパーミッションまたは条件をサポートしていません。また、AWSリージョン以外の基準でIAMユーザーまたはユーザーグループのEC2リソースへのアクセスを分離することは、ほとんどのユースケースに適していません。
代わりに、AWS Organizationsを通じて複数の異なるAWSアカウントをリンクし、自分のアカウントでIAMユーザーグループを分離することを検討してください。
地域別または同じアカウント上の条件別にリソースを分離する必要がある場合は、まず、リソースレベルの権限をサポートするEC2アクションのリストを確認します。そして、ユースケースがこのソリューションをサポートしているかどうかを確認するために、サポートする条件を確認します。
次に、以下のようなIAMポリシーを作成します。
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Owner": "Bob"
}
},
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
}
]
}
注:同様のポリシーをIAMユーザーまたはグループにアタッチすると、タグキーまたは米国東部(N.バージニア州 )の[us-east-1]リージョンのBob、Value of Ownerを有する開始や停止や再起動 EC2インスタンスにのみアクセスが制限されます。
最後に、IAMユーザーのグループごとに異なるリージョンを使用して、同様のポリシーを作成します。
