AWS IAM控制一组EC2实例

Question

我们对S3和SQS，Redshift等组成员和用户使用IAM权限。特别是针对S3的IAM通过路径和存储桶提供了可爱的细节级别。

当谈到EC2权限时，我遇到了一些棘手的问题。

如何创建权限，允许IAM用户：

• 创建多达ň实例
• 做任何他/她想要在这些情况下只（终止/停止/描述）

...并使它不可能为他/她的影响我们的其他情况下（其他城市终止/中止/等）？

我一直在尝试条件标签（"Condition": {"StringEquals": {"ec2:ResourceTag/purpose": "test"}}），但这意味着我们所有的工具都需要修改，以在创建时添加该标签。

有没有更简单的方法？

Answer 1

限制IAM用户创建的实例数量是不可能的（不幸的是）。您拥有的只是整个帐户中实例数量的限制。

权限限制为特定的情况下是可能的，但你必须为每个实例指定-ID的权限，使用此格式：

arn:aws:ec2:region:account:instance/instance-id 

的更多信息，请访问：

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html