我正在尝试制作 IAM policy限制用户访问特定 VPC 中的所有实例.遵循我制定但不起作用的政策。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1450441260778",
"Action": "ec2:*",
"Effect": "Allow",
"Resource": "arn:aws:ec2:region:Account_num:vpc/vpc-id"
}
]
}
我已经填写了对应的
account_num和 vpc-id政策中。
最佳答案
您想限制用户访问并且您使用了 allow属性将授予访问实例的权限。这是想要的行为吗?
如果你真的想限制试试 "Effect": "Deny"在同样的政策。
但是,如果您想向某些用户授予访问权限,您可以这样做。
在这种情况下,以下政策对我很有效。我使用它为开发人员限制访问启动停止实例。您可以在第二个块中添加任意数量的权限。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeInstances*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances*",
"ec2:StopInstances*"
],
"Resource": "arn:aws:ec2:ap-southeast-1:ACCOUNT_ID:instance/i-32ds2a29"
}
]
}
ap-southeast-1是我的情况的区域。要控制特定 vpc 中的实例,您可以简单地使用其 id 。 vpc+instance_id 没有单独的 arn 而您可以使用
arn:aws:ec2:region:account-id:instance/instance-id as arn refer this .同样,您可以使用相同的策略通过使用
arn:aws:ec2:region:account-id:vpc/vpc-id 来限制特定 vpc 中的用户。作为 arn,添加操作 ec2:*和 deny实际上。
关于amazon-web-services - 将用户限制在特定 VPC 中的实例的 IAM 策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/34356178/