我想限制 AWS Identity and Access Management (IAM) 使用者/群組/角色對相同帳戶上特定 Amazon Elastic Compute Cloud (Amazon EC2) 資源的存取權限。我該如何操作?
解決方法
Amazon EC2 對資源層級授權或條件提供部分支援。這表示對於特定 Amazon EC2 動作,您可以根據必須滿足的條件或允許使用者使用的特定支援,控制何時允許使用者使用那些動作。
依照任何非屬 AWS 區域之條件隔離 IAM 使用者或使用者群組對 Amazon EC2 資源的存取權限時,不符合大多數的使用案例。如果您必須依照區域或相同帳戶上的任何條件隔離資源,請務必檢查 Amazon EC2 清單中支援資源層級權限和條件的動作,以確認您的使用案例受到支援。
以下範例顯示可用於限制 IAM 身分 (使用者/群組/角色) 存取權限的政策,且僅限在維吉尼亞北部 (us-east-1) 區域啟動/停止/重新開機 EC2 執行個體。該執行個體必須具有標籤值為 “Bob” 的 “Owner” 標籤金鑰。”ec2:Describe*” 已新增至政策中,以授予在 AWS 管理 EC2 主控台中說明 EC2 執行個體及所有相關聯資源的權限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Owner": "Bob"
}
}
}
]
}
**注意:**將 “Owner”、”Bob” 及資源 ARN 取代為您環境中的參數。
建立政策後,您可以將其連接至 IAM 使用者、群組或角色
如需標記使用案例和最佳實務的資訊,請參閱最佳實務。
相關資訊
Amazon EC2 的 IAM 政策
Amazon EC2 的身分和存取管理
Amazon EC2 API 動作
Amazon Resource Names (ARN)