서비스 액세스를 제한하는 IAM 정책을 설정할 수 있다는 것을 알고 있습니다. 그러나 서비스의 일부에 대한 액세스를 허용하는 정책을 설정할 수 있습니까?AWS IAM 액세스 관리
예. 저는 두 개의 EC2 인스턴스입니다. AWS 콘솔에 액세스 할 수 있도록 두 명의 사용자를 생성해야하지만 각각 하나의 EC2 인스턴스에만 연결해야합니다.
:
여기arn:aws:[service]:[region]:[account]:resourceType/resourcePath
는 각 사용자에 대한 IAM 정책을 구성 할 방법은 다음과 같습니다
예는 다음과 같이 자원의 구조는 in the documentation를 언급한다 Resource-Level Permissions for EC2
하여이 작업을 수행 할 수 있습니다 사용자 1
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/InstanceIdOne"
}
]
}
사용자 2
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/InstanceIdTwo"
}
]
}
정책 : DescribeInstance이 작동하지 않습니다. 당신은 모든 리소스에 대해 DescribeInstances 액세스를 허용하고 필요에 따라 특정 인스턴스를 수정, 삭제하는 등의 추가 액세스를 관리해야합니다.
요약하면 태그, 인스턴스, NetworkACL, 이미지 등의 모든 기본 작업을 모든 사용자에게 허용하고 수정 및 삭제와 같은 특정 파괴적인 작업을 허용하여 사용자를 선택하십시오. 여기 참조 http://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html
을위한 EC2 작업의
목록 그래서 당신은 옵션 -
2 아래와 같이 하나 개의 정책을 만들고 모두 사용자에게 동일한 정책을 첨부해야
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*Describe*",
"Resource":"*",
},
{
"Effect": "Allow",
"Action": [
"ec2:*Modify*",
"ec2:*Delete*"
],
"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:user/**user-name-1**" },
"Resource": "arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdOne**"
},
{
"Effect": "Allow",
"Action": [
"ec2:*Modify*",
"ec2:*Delete*"
],
"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:user/**user-name-2**" },
"Resource": "arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdTwo**"
}
]}
두 가지 정책을 만듭니다. 아래에 하나의 예제
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*Describe*",
"Resource":"*",
},
{
"Effect": "Allow",
"Action": [
"ec2:*Modify*",
"ec2:*Delete*"
],
"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:user/**user-name-1**" },
"Resource": "arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdOne**"
}
]}