Au sein d'IAM, puis-je restreindre à un groupe d'utilisateurs pour accéder à/lancer/mettre fin à seulement certaines EC2 AMIs ou des instances?

Ce que dit le titre.

Dans la base de compte AWS, j'ai plusieurs comptes personnels, c'est à dire AWS Identity and Access Management (IAM) utilisateurs. Je tiens à affecter certains utilisateurs IAM pour les groupes et les empêcher de mettre fin à certaines Les instances Amazon EC2, de l'enregistrement de certains Images Machine Amazon (Ami), etc.

Je n'ai pas l'esprit si ils jouent avec leurs propres choses, mais je ne veux pas toucher à mes affaires.

Est-ce possible?

OriginalL'auteur Florin Andrei | 2012-03-22

  1. 29

    Mise à jour

    AWS a annoncé Des ressources au Niveau des Autorisations pour Amazon EC2 et Amazon RDS pour remédier à cette lacune de longue date de l'IAM de soutien au sein de l'EC2, RDS (en comparaison à d'autres services AWS, voir ma réponse ci-dessous pour plus de détails/arrière-plan):

    Aujourd'hui, nous faisons IAM encore plus puissant avec l'introduction de la ressource au niveau des autorisations pour Amazon EC2 et Amazon RDS. [...]

    Sur l'EC2 côté, vous pouvez maintenant construire et d'utiliser des IAM les politiques de contrôle des
    l'accès à des instances EC2, les volumes EBS, des images et des IP Élastique
    les adresses. [...]

    Voici quelques-unes des choses que vous pouvez faire:

    • Permettent aux utilisateurs d'agir sur un ensemble limité de ressources au sein d'un grand, multi-utilisateur EC2 environnement.
    • Définir des autorisations différentes pour le "développement" et "test" des ressources.
    • Contrôler quels utilisateurs peuvent résilier les instances qui.
    • Nécessitent des mesures de sécurité supplémentaires, telles que l'authentification MFA, lorsqu'ils agissent sur certaines ressources.

    Cela résout une pléthore de sécurité des complications et permet à tout à fait un peu de nouveaux cas d'utilisation.

    En outre, EC2 énoncés de politique peut inclure une référence pour les tags sur les ressources EC2, ce qui permet de utiliser le même marquage modèle et le schéma des autorisations et pour la facturation des rapports. Enfin, il y a un ensemble élargi de la condition des tags [...] y compris ec2:Région, ec2:Propriétaire, et ec2:InstanceType, voir Condition Clés pour Amazon EC2 pour plus de détails.

    Solution

    Voici une variante de Exemple 3: Autoriser les utilisateurs à arrêter et démarrer les seuls cas particuliers pour le cas d'utilisation à portée de main, permet aux utilisateurs de démarrer et d'arrêter [et de mettre fin] uniquement les instances qui ont le tag "département=dev":

    {
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": [
        "ec2:StopInstances", 
        "ec2:StartInstances",
        "ec2:TeminateInstances"
      ],
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/department": "dev"
        }
      }
    }
   ]
}

    Mise en garde

    De soutien pour les ressources au niveau des autorisations est limité à l'ensemble des actions sur les ressources indiquées encore, qui exclut les pièces du cas d'utilisation (par exemple, de-l'enregistrement d'AMIs) - la confiance dans les bases de cette complexe et de grande envergure fonction est apparemment assez haut cependant pour annoncer qu'ils plan pour ajouter le support pour d'autres Api dans le reste de l'année 2013 (AWS n'a pas l'habitude de publier toutes les feuilles de route):

    • Cas De Redémarrage, De Démarrer, D'Arrêter, De Mettre Fin.
    • Volumes EBS - Fixer, de Supprimer, de le Détacher.

    Réponse Originale À Cette Question

    J'ai peur que cela n'est pas possible de la façon dont vous souhaitez le faire (et de nombreux autres, y compris moi-même).

    Problème

    Vous souhaitez restreindre l'accès à un service particulier ressources plutôt que son actions - tout AWS Identity and Access Management (IAM) prend en charge à la fois, en principe, pas tous les AWS produit/service offre des restrictions fondées sur des ressources; malheureusement Amazon EC2 est l'un de ces, et même présenté comme un exemple de cette différence, voir L'intégration avec d'Autres Produits AWS:

    Le tableau suivant indique si vous pouvez accorder des autorisations
    contrôle d'accès à un service, les actions, les ressources, ou les deux. Pour
    exemple, vous pouvez utiliser IAM pour contrôler Amazon EC2 les actions des utilisateurs
    avoir accès à, mais vous ne pouvez pas utiliser IAM pour contrôler l'accès des utilisateurs à
    AMIs, les volumes, les instances, etc.     [c'est moi qui souligne]

    (Partielle) Solution De Contournement

    En fonction des besoins des autres comptes, vous pourrait toujours être en mesure à au moins limiter leur capacité à effectuer ces actions considérées comme destructrices vous pouvez explorer les actions disponibles via le Générateur de Politique AWS, par exemple:

    Par défaut, vous pouvez mettre fin à toutes les instances que vous lancez. Si vous voulez
    empêcher l'activation accidentelle de la résiliation de l'instance, vous pouvez activer
    la résiliation de la protection de l'instance.

    Qui est, une fois que vous avez activé la résiliation de la protection, de quiconque sans la permission d'utiliser ec2:ModifyInstanceAttribute ne peut pas mettre fin à ces instances.

    Évidemment l'respectivement restreint de comptes ne seront pas en mesure de faciliter les appels à leurs propres ressources plus.

    De plus, cela ne l'empêchera pas de l'exécution d'une fantaisie Cluster de Calcul Huit Instance Extra-Large, encourir des frais correspondants à leur tour 😉

    Approche Alternative

    En fonction de votre configuration/environnement, vous voudrez peut-être regarder dans la Facturation Consolidée au lieu de cela, qui fournit essentiellement un moyen de rassembler un ou plusieurs comptes AWS sous un autre, qui est de payer pour les ressources utilisées par les autres.

    Alors que c'est principalement de la comptabilité, il peut être utilisé pour séparer les zones de préoccupation, par exemple, il est assez commun pour faciliter le développement et la production des comptes pour atteindre respectivement opération indépendante, pas le moins en ce qui concerne IAM droits et la comme.

    L'introduction de blog De nouvelles fonctions AWS: la Facturation Consolidée fournit une bonne vue d'ensemble, et c'est ici le sujet de la Guide de Facturation Consolidée AWS concernant votre apparente cas d'utilisation:

    Du compte de règlement est facturé pour les frais de comptes liés.
    Cependant, chaque compte est totalement indépendant de tous les autres
    moyen (de la signature pour les services, l'accès aux ressources, à l'aide d'AWS
    De soutien, etc.).     Le paiement d'un titulaire de compte ne peut pas accéder à des données appartenant
    les liens entre les titulaires de compte (par exemple, leurs fichiers dans Amazon S3). Chaque
    compte propriétaire utilise son propre AWS informations d'identification pour accéder à leurs ressources
    (par exemple, leur propre AWS Clé d'Accès Secrète).     [c'est moi qui souligne]

    Évidemment, cette fonctionnalité est destinée à des gros clients, mais en fonction de votre scénario, vous pourriez être en mesure de trouver une solution pour séparer vos comptes AWS et les ressources nécessaires encore.

    Suite à l'idée d'utiliser les "états de facturation" contournement approche, une personne qui veut rester à l'administrateur système de contrôle pourrait conserver la propriété de tous les comptes (en créer un pour chaque utilisateur) et il suffit d'utiliser IAM dans chaque compte pour accorder à un utilisateur en particulier les capacités dont ils ont besoin. De cette façon, vous en tant que sys admin peut encore voir quand ils quittent les machines en cours d'exécution (sinon ils accumuler un énorme projet de loi sans le savoir jusqu'à la fin du mois. Combiner cette approche avec certains "alerte" fonctionnalités intégrées dans AWS, ou de l'utilisation de l'Api EC2 pour vérifier dans tous les comptes de ce qui est en cours d'exécution.
    Bon point, peut-être un peu extrême pour la plus grande base d'utilisateurs, mais il peut suffisamment échelle encore en fonction de vos besoins et, aujourd'hui, est également la seule option pour acquérir une sorte de piste de vérification (voir la section des Journaux pour des actions sur amazon s3 / autres services AWS pour plus de détails); si vous ne sont concernés sur les instances en cours d'exécution, vous pouvez également regarder dans le nouveau Amazon CloudWatch - Actions d'Alarme, voir mon réponse similaire pour plus de détails.

    OriginalL'auteur Steffen Opel