AWS Amazon IAM Politique de l'utilisateur pour accéder à une SEULE instance EC2 sur eu-WEST-1 région
J'ai lu AWS documentation et il n'était pas utile... au moins pas pour moi. J'ai lu sur IAM et la stratégie de l'utilisateur sur l'EC2.
Je veux rendre les utilisateurs ont un accès complet/(ou les quelques actions autorisées) seulement sur UNE instance ec2.
La région que j'utilise est eu-west-1(Irlande). J'ai fait cette politique:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "arn:aws:ec2:eu-west-1:ACCOUNT_ID:instance/INSTANCE_ID"
}]
}
et quand je me connecte en tant qu'utilisateur, je vois que je ne suis pas autorisé:
- Vous n'êtes pas autorisé à décrire les Instances en cours d'Exécution
- Vous n'êtes pas autorisé à décrire les adresses ip Élastiques
- Vous n'êtes pas autorisé à décrire les Volumes
- Vous n'êtes pas autorisé à décrire les Instantanés
- Vous n'êtes pas autorisé à décrire les principales Paires de
- Vous n'êtes pas autorisé à décrire les Équilibreurs de Charge
- Vous n'êtes pas autorisé à décrire Groupes de Placement
- Vous n'êtes pas autorisé à décrire les Groupes de Sécurité
Si j'applique la politique suivante pour l'attribut de ressource:
"Resource": "arn:aws:ec2:*"
c'est Ok, mais ce n'est pas ce dont j'ai besoin parce que les utilisateurs ont accès à toutes les instances EC2.
Je veux savoir si c'est un bug de AWS ou il y a des problèmes avec eu-west-1 de la région ou de la présente politique n'est pas pris en charge déjà? Ou peut-être que je me trompe, si oui, s'il vous plaît aider moi comment faire
- voici une réponse, mais ne peut pas l'aider pour l'eu-west-1: (stackoverflow.com/questions/20548062/aws-iam-access-management)
Vous devez vous connecter pour publier un commentaire.
Récemment introduit Des ressources au Niveau des Autorisations pour EC2, RDS Ressources ne sont pas encore disponibles pour toutes les API actions, mais AWS est en ajoutant petit à petit plus, voir cette note de Amazon les Noms de Ressources pour Amazon EC2:
Vous trouverez que tous les
ec2:Describe*
actions sont en effet absents encore de Les Ressources prises en charge et les Conditions de l'API Amazon EC2 Actions au moment d'écrire ces lignes.Voir aussi L'octroi des Utilisateurs IAM Autorisations Requises pour Amazon EC2 Ressources pour un résumé concis de ce qui précède et les détails sur les ARNs et Amazon EC2 condition de touches que vous pouvez utiliser dans un IAM énoncé de politique pour accorder aux utilisateurs l'autorisation de créer ou de modifier notamment Amazon EC2 ressources - cette page mentionne également que AWS ajouter le support pour d'autres actions, ARNs, et l'état des touches en 2014.
Possible Solution/Alternative
Au lieu de ou en plus à limiter l'accès sur l'individu, le niveau de ressources, vous pourriez vouloir vérifier dans (aussi) à l'aide de Conditions combiné avec La Politique De Variables, dans la mesure où
ec2:Region
est celui de la prise en charge Condition Clés pour Amazon EC2 - vous pouvez combiner votre assurance qui traite spécifiquement lesDescribe*
actions, par exemple quelque chose comme ça (non testé):Veuillez noter que cela serait tout de même permettre à l'utilisateur de voir tous cas dans
eu-west-1
, même si votre stratégie d'origine fragment serait de prévenir toutes les API des actions qui prennent déjà en charge des ressources autorisations au niveau de l'e.g création de l'instance/la résiliation etc.).Que j'ai décrit encore une autre approche possible dans la section Partielle de la solution de Contournement dans ma réponse similaire à Comment masquer des instances EC2 basé sur le tag à l'aide de IAM?.
Bonne Chance!