Création d'une stratégie AWS IAM pour qu'un utilisateur autorise uniquement l'arrêt et le démarrage de l'instance, mais si je donne une ressource ARN d'instance particulière, cela ne fonctionne pas. Par défaut EC2 Lecture seule autorisation a été donnée à l'utilisateur de décrire les instances EC2 et au-dessus de cette ajouté stratégie personnalisée de l'échantillon comme suit:Stratégie AWS IAM personnalisée au niveau de l'instance pour EC2 ne fonctionne pas
politique Exemple:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:Describe*",
"ec2:StopInstances",
"ec2:RunInstances",
"ec2:StartInstances"
],
"Effect": "Allow",
"Resource": "*"
This works
"Resource": "arn:aws:ec2:<region>:<account id>:instance/<instance id>"
"Resource": "arn:aws:ec2:<region>:<account id>:instance/*"
"Resource": "arn:aws:ec2:<region>::instance/*"
"Resource": "arn:aws:ec2:::instance/*"
"Resource": "arn:aws:ec2:::*"
These doesn’t work
}
]
}
Édité le 23 janvier (Pour montrer exactement ce que j'ai e done)
Objectif: Démarrer et arrêter l'autorisation d'instance sur une seule instance EC2 pour un utilisateur.
testé différentes politiques combo mais aucun d'entre eux travaillaient à l'exception "Resource": "*"
:
Dernière connexion: admin_user (Accès complet)
Créé une instance comme suit:
Région: Oregon
zone Disponibilité: nous-ouest-2c
instance Id: i-xxx3dxxx32xxxxxxe
Propriétaire: xxx23xxx11
créé un utilisateur: testec2_user
Autorisations accordées à la utilisateur:
- EC2 lecture seule (politique disponible)
politique sur mesure pour permettre seulement arrêter et démarrer l'instance i-xxx38xxx32xx45 comme suit:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:Describe*", "ec2:RunInstances" ], "Effect": "Allow", "Resource": "*" }, { "Action": [ "ec2:StopInstances", "ec2:StartInstances" ], "Effect": "Allow", "Resource": "arn:aws:ec2:us-west-2c:xxx23xxx11:instance/i-xxx3dxxx32xxxxxxe" } ] }
vous êtes connecté comme testec2_user
et essayé démarrage de l'instance arrêtée et erreur de réception reçue:
You are not authorized to perform this operation. Encoded authorization failure message
J'ai un plan pour décoder le message reçu en utilisant sts decode authorization message
de AWS.
Merci pour la réponse. J'ai essayé pour S3 et cela fonctionne parfaitement bien, mais ma question est liée à l'autorisation de niveau d'instance EC2. –