Au sein d'IAM, puis-je restreindre à un groupe d'utilisateurs pour accéder à/lancer/mettre fin à seulement certaines EC2 AMIs ou des instances?
Ce que dit le titre.
Dans la base de compte AWS, j'ai plusieurs comptes personnels, c'est à dire AWS Identity and Access Management (IAM) utilisateurs. Je tiens à affecter certains utilisateurs IAM pour les groupes et les empêcher de mettre fin à certaines Les instances Amazon EC2, de l'enregistrement de certains Images Machine Amazon (Ami), etc.
Je n'ai pas l'esprit si ils jouent avec leurs propres choses, mais je ne veux pas toucher à mes affaires.
Est-ce possible?
OriginalL'auteur Florin Andrei | 2012-03-22
Vous devez vous connecter pour publier un commentaire.
Mise à jour
AWS a annoncé Des ressources au Niveau des Autorisations pour Amazon EC2 et Amazon RDS pour remédier à cette lacune de longue date de l'IAM de soutien au sein de l'EC2, RDS (en comparaison à d'autres services AWS, voir ma réponse ci-dessous pour plus de détails/arrière-plan):
Cela résout une pléthore de sécurité des complications et permet à tout à fait un peu de nouveaux cas d'utilisation.
En outre, EC2 énoncés de politique peut inclure une référence pour les tags sur les ressources EC2, ce qui permet de utiliser le même marquage modèle et le schéma des autorisations et pour la facturation des rapports. Enfin, il y a un ensemble élargi de la condition des tags [...] y compris ec2:Région, ec2:Propriétaire, et ec2:InstanceType, voir Condition Clés pour Amazon EC2 pour plus de détails.
Solution
Voici une variante de Exemple 3: Autoriser les utilisateurs à arrêter et démarrer les seuls cas particuliers pour le cas d'utilisation à portée de main, permet aux utilisateurs de démarrer et d'arrêter [et de mettre fin] uniquement les instances qui ont le tag "département=dev":
Mise en garde
De soutien pour les ressources au niveau des autorisations est limité à l'ensemble des actions sur les ressources indiquées encore, qui exclut les pièces du cas d'utilisation (par exemple, de-l'enregistrement d'AMIs) - la confiance dans les bases de cette complexe et de grande envergure fonction est apparemment assez haut cependant pour annoncer qu'ils plan pour ajouter le support pour d'autres Api dans le reste de l'année 2013 (AWS n'a pas l'habitude de publier toutes les feuilles de route):
Réponse Originale À Cette Question
J'ai peur que cela n'est pas possible de la façon dont vous souhaitez le faire (et de nombreux autres, y compris moi-même).
Problème
Vous souhaitez restreindre l'accès à un service particulier ressources plutôt que son actions - tout AWS Identity and Access Management (IAM) prend en charge à la fois, en principe, pas tous les AWS produit/service offre des restrictions fondées sur des ressources; malheureusement Amazon EC2 est l'un de ces, et même présenté comme un exemple de cette différence, voir L'intégration avec d'Autres Produits AWS:
(Partielle) Solution De Contournement
En fonction des besoins des autres comptes, vous pourrait toujours être en mesure à au moins limiter leur capacité à effectuer ces actions considérées comme destructrices vous pouvez explorer les actions disponibles via le Générateur de Politique AWS, par exemple:
ec2:DeregisterImage
- effet évident, lorsque refusé pour un utilisateur/groupeec2:ModifyInstanceAttribute
- ce serait de l'aide par L'activation de la Terminaison de Protection pour une Instance, lorsque refusé pour un utilisateur/groupe:Qui est, une fois que vous avez activé la résiliation de la protection, de quiconque sans la permission d'utiliser
ec2:ModifyInstanceAttribute
ne peut pas mettre fin à ces instances.Évidemment l'respectivement restreint de comptes ne seront pas en mesure de faciliter les appels à leurs propres ressources plus.
De plus, cela ne l'empêchera pas de l'exécution d'une fantaisie Cluster de Calcul Huit Instance Extra-Large, encourir des frais correspondants à leur tour 😉
Approche Alternative
En fonction de votre configuration/environnement, vous voudrez peut-être regarder dans la Facturation Consolidée au lieu de cela, qui fournit essentiellement un moyen de rassembler un ou plusieurs comptes AWS sous un autre, qui est de payer pour les ressources utilisées par les autres.
Alors que c'est principalement de la comptabilité, il peut être utilisé pour séparer les zones de préoccupation, par exemple, il est assez commun pour faciliter le développement et la production des comptes pour atteindre respectivement opération indépendante, pas le moins en ce qui concerne IAM droits et la comme.
L'introduction de blog De nouvelles fonctions AWS: la Facturation Consolidée fournit une bonne vue d'ensemble, et c'est ici le sujet de la Guide de Facturation Consolidée AWS concernant votre apparente cas d'utilisation:
Évidemment, cette fonctionnalité est destinée à des gros clients, mais en fonction de votre scénario, vous pourriez être en mesure de trouver une solution pour séparer vos comptes AWS et les ressources nécessaires encore.
Bon point, peut-être un peu extrême pour la plus grande base d'utilisateurs, mais il peut suffisamment échelle encore en fonction de vos besoins et, aujourd'hui, est également la seule option pour acquérir une sorte de piste de vérification (voir la section des Journaux pour des actions sur amazon s3 / autres services AWS pour plus de détails); si vous ne sont concernés sur les instances en cours d'exécution, vous pouvez également regarder dans le nouveau Amazon CloudWatch - Actions d'Alarme, voir mon réponse similaire pour plus de détails.
OriginalL'auteur Steffen Opel