我可以限制 IAM 身分對特定 Amazon EC2 資源的存取權限嗎?
1 分的閱讀內容
0
我想限制 AWS Identity and Access Management (IAM) 使用者/群組/角色對相同帳戶上特定 Amazon Elastic Compute Cloud (Amazon EC2) 資源的存取權限。我該如何操作?
解決方法
Amazon EC2 對資源層級授權或條件提供部分支援。這表示對於特定 Amazon EC2 動作,您可以根據必須滿足的條件或允許使用者使用的特定支援,控制何時允許使用者使用那些動作。
依照任何非屬 AWS 區域之條件隔離 IAM 使用者或使用者群組對 Amazon EC2 資源的存取權限時,不符合大多數的使用案例。如果您必須依照區域或相同帳戶上的任何條件隔離資源,請務必檢查 Amazon EC2 清單中支援資源層級權限和條件的動作,以確認您的使用案例受到支援。
以下範例顯示可用於限制 IAM 身分 (使用者/群組/角色) 存取權限的政策,且僅限在維吉尼亞北部 (us-east-1) 區域啟動/停止/重新開機 EC2 執行個體。該執行個體必須具有標籤值為 “Bob” 的 “Owner” 標籤金鑰。”ec2:Describe*” 已新增至政策中,以授予在 AWS 管理 EC2 主控台中說明 EC2 執行個體及所有相關聯資源的權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:111122223333:instance/*" ], "Condition": { "StringEquals": { "ec2:ResourceTag/Owner": "Bob" } } } ] }
**注意:**將 “Owner”、”Bob” 及資源 ARN 取代為您環境中的參數。
建立政策後,您可以將其連接至 IAM 使用者、群組或角色
如需標記使用案例和最佳實務的資訊,請參閱最佳實務。
相關資訊
沒有評論
相關內容
- 已提問 6 個月前
- 已提問 6 個月前
- 已提問 1 年前
AWS 官方已更新 2 年前- AWS 官方已更新 4 個月前
- AWS 官方已更新 3 年前
- AWS 官方已更新 1 年前