【发布时间】:2018-04-16 08:21:46
【问题描述】:
我有一个名为“devops”的 IAM 组,我想向该组应用一项策略,该策略将授予该组成员对标记为“Class=devops”的 EC2 实例的完全访问权限,而不能访问任何其他 EC2 实例。我发现亚马逊这篇很棒的知识中心文章让我走上了正确的道路:https://aws.amazon.com/premiumsupport/knowledge-center/iam-ec2-resource-tags/。
我看到的问题源于该页面一半左右的“注释”:
“完全控制”扩展到 EC2 命名空间内的所有操作,但当前不支持资源级权限的那些 Amazon EC2 API 操作除外。有关更多信息,请参阅 Amazon EC2 API 参考中的Unsupported Resource-Level Permissions。
如果您点击注释中的链接到list of unsupported resource-level permissions,您会发现它有几十个项目。您还会发现以下语句:
所有 Amazon EC2 操作都可以在 IAM 策略中用于授予或拒绝用户使用该操作的权限。但是,并非所有 Amazon EC2 操作都支持资源级权限,这使您能够指定可以对其执行操作的资源。以下 Amazon EC2 API 操作目前不支持资源级权限;因此,要在 IAM 策略中使用这些操作,您必须通过在您的语句中为 Resource 元素使用 * 通配符来授予用户将所有资源用于操作的权限。 为了授予所有这些“允许”权限。
如果我想将此策略中的权限授予所有不支持资源级权限的操作,我的策略将有 数百行 行!有没有更好更简洁的方法来做到这一点?
【问题讨论】:
标签: amazon-web-services amazon-ec2