AWS EC2 启动/停止实例的 IAM 策略

Question

我希望用户能够登录到 aws 帐户并启动和停止一个特定的 ec2-instance。 到目前为止，我发现 ec2 describe 仅适用于资源中的全部星号“*”。 用户可以登录，查看所有实例，但由于出现权限被拒绝错误，他无法启动或停止实例：(

这是我的政策

{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "TheseActionsDontSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"ec2:Describe*"
],
"Resource": "*"
},
{
"Sid": "TheseActionsSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"ec2:TerminateInstances",
"ec2:StopInstances",
"ec2:StartInstances"
],
"Resource": "arn:aws:ec2:eu-central-1a:MY_ACCOUNT_ID:instance/MY_INSTANCE_ID"
}
]
}

Answer 1

答案是，你不能。

ec2:Stopinstances、ec2:StartInstances 和 ec2:TerminateInstances 确实支持资源级权限，但不支持实例 ID 的条件键。它们支持条件键：

• ec2:AvailabilityZone
• ec2:EbsOptimized
• ec2:InstanceProfile
• ec2:InstanceType
• ec2:PlacementGroup
• ec2:区域
• ec2:ResourceTag/tag-key
• ec2:RootDeviceType
• ec2:租赁

这在文档here 中突出显示。 （在页面搜索API调用）

唯一可能有用的条件键是ec2:ResourceTag/tag-key。您可以在特定实例上添加资源标签，并允许用户权限在具有该标签的实例上调用这 3 个 API 调用。

但是，除非您拒绝了与标签相关的 API 调用，否则没有什么可以阻止用户将标签添加到另一个实例，并在该实例上执行 API 调用。您需要确定拒绝标记是否适合您的情况。

希望这会有所帮助。