AWS IAM访问管理

Question

我知道您可以设置一个IAM策略来限制对服务的访问。但是，是否可以设置允许访问服务的一部分的策略。

我是两个EC2实例。我需要创建两个用户，使他们能够访问AWS控制台，但每个用户只能访问一个EC2实例。

Answer 1

是的，你可以用EC2的资源级权限做这件事

资源的结构说明如下：在文件中：

arn:aws:[service]:[region]:[account]:resourceType/resourcePath

下面是如何为每个用户构建IAM策略：

用户1

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/InstanceIdOne"
    }
   ]
}

用户2

{
   "Version": "2012-10-17",
   "Statement": [{
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "arn:aws:ec2:us-east-1:123456789012:instance/InstanceIdTwo"
    }
   ]
}

Answer 2

没有访问EC2的策略:DescribeInstance将无法工作。您需要允许对所有资源进行DescribeInstances访问，并根据需要管理其他访问，如修改、删除特定实例。

简而言之，允许对所有用户进行描述标记、实例、NetworkACL、图像等所有基本操作，并允许特定的破坏性操作(如修改和删除)来选择用户。

供您参考的EC2操作列表( Operations.html )

所以你有两个选择-

1. 创建一个如下所示的策略，并向两个用户附加相同的策略 {“版本”："2012-10-17“、”声明“：[{”效果“：”允许“、”行动“：”EC2：*描述*“、”资源“：”*“、}、{”效果“：”允许“、”行动“：”EC2：*修改*“、”EC2：*删除*“，“主体”：{ "AWS"："arn:aws:iam::AWS-account-ID:user/**user-name-1**“}，”资源“："arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdOne**”}，{“效果”：“允许”，“操作”：“EC2：*修改*”，“EC2：*删除*”，“主体”：{ "AWS"："arn:aws:iam::AWS-account-ID:user/**user-name-2**“}，”资源“："arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdTwo**”}}
2. 创建两个不同的策略。下面一个例子 {“版本”："2012-10-17“、”声明“：[{”效果“：”允许“、”行动“：”EC2：*描述*“、”资源“：”*“、}、{”效果“：”允许“、”行动“：”EC2：*修改*“、”EC2：*删除*“，“主体”：{ "AWS"："arn:aws:iam::AWS-account-ID:user/**user-name-1**“}，”资源“："arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdOne**”}}