AWS 계정이 있고 그룹에 "sales"라는 그룹이 추가 된 그룹이 거의 없으며이 그룹에 "AmazonEC2FullAccess"IAM 역할이 할당되어 있습니다. 제 이해는 "판매"그룹이 모든 EC2 자원을보고 새 인스턴스를 만들고 이전 인스턴스를 종료 할 수 있다는 것입니다.AmazonEC2FullAccess를 사용자 정의하는 방법
인스턴스를보고 작성하는 데만이 그룹을 제한하고 모든 인스턴스를 제거 할 수 없도록하려면이 AmazonEC2FullAccess 역할을 편집/변경하여 인스턴스의 종료 프로세스를 비활성화하려면 어떻게합니까?
질문에 직접 대답 하시려면 AmazonEC2FullAccess는 기본 제공 정책이므로 변경할 수 없습니다. 하지만 당신은 명시 적으로 다음과 같이이 그룹에 인라인 정책을 추가하여 EC2 인스턴스 종료를 거부 할 수 있습니다 : 영업 사원에
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1508489064000",
"Effect": "Deny",
"Action": [
"ec2:TerminateInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:ACCOUNT_ID:instance/*"
]
}
]
}
할당 AmazonEC2FullAccess 끔찍한 생각이다.
최소한의 권한 방법 (은 액세스 권한이 필요한 것은에만 사용하는 것이 좋습니다)을 사용하는 것이 좋습니다.
는Permissions 탭에서 아래
Inline Custom policy
Sales 그룹에 연결합니다.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "elasticloadbalancing:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics",
"cloudwatch:GetMetricStatistics",
"cloudwatch:Describe*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "autoscaling:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:CreateImage",
"ec2:CreateKeyPair",
"ec2:CreateNetworkInterface",
"ec2:CreatePlacementGroup",
"ec2:CreateSecurityGroup",
"ec2:CreateSnapshot",
"ec2:CreateVolume",
"ec2:ModifyHosts",
"ec2:AllocateAddress",
"ec2:AllocateHosts",
"ec2:AssignIpv6Addresses",
"ec2:AssignPrivateIpAddresses",
"ec2:AssociateAddress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AttachVolume",
"ec2:CopyImage",
"ec2:CopySnapshot",
"ec2:RunInstances",
"ec2:StartInstances",
"ec2:RebootInstances",
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": "*"
}
]
}
이것은 그들이 등, 태그 예를 들어 보안 그룹을 만드는 예처럼 EC2 인스턴스로 기본 조작을 수행 만들 수 있습니다, 그러나 그들을 삭제 작업을 수행 제한합니다. 기본적으로이 정책은 AmazonEC2ReadOnlyAccess 정책의 확장입니다.