Дать разрешения только одному экземпляру EC2?

Question

Дать разрешения только одному экземпляру EC2?

У меня есть несколько экземпляров EC2 в моем аккаунте AWS amazon. У меня есть один конкретный экземпляр EC2, который я хочу использовать для аутсорсера (остановка, запуск, управление группой безопасности, изменение размера дискового пространства и т. Д.).

Я пытался сделать это с помощью политик IAM, но из того, что я вижу, DescribeInstances позволяет пользователю видеть все экземпляры в моей учетной записи. И когда я пытаюсь отредактировать политику для определенного ресурса, это показывает ошибку, потому что это DescribeInstances не является политикой уровня ресурса, поэтому у нее должен быть Ресурс '*'.

Я подумала, может быть, предоставит ему доступ к другому региону и положит туда пример. Другой вариант - использование организаций (немного сложный, но выглядит многообещающе, с удовольствием поймет, если это так).

Я что-то пропустил? Какое лучшее решение для достижения того, что мне нужно?

0

amazon-web-services amazon-ec2 aws-organizations aws-iam

Источник

user4360433 20 авг '18 в 11:38

1 ответ

Решение

Другие вопросы по тегам amazon-web-services amazon-ec2 aws-organizations aws-iam

user174777 20 авг '18 в 11:44 2018-08-20 11:44 · Accepted Answer · 2018-08-20 11:44

Если вы хотите дать аутсорсеру разрешение на вызов сервисов AWS в своей учетной записи, то с точки зрения безопасности было бы гораздо безопаснее поместить эти ресурсы в дочернюю учетную запись.

Таким образом, вам гарантируется, что их учетные данные не смогут повлиять на любые другие ваши ресурсы и услуги.

Альтернатива будет слишком сложной для управления. Например, группы безопасности могут быть связаны со многими экземплярами, а один экземпляр может иметь много групп безопасности. Это было бы невозможно кодировать в политике IAM.