IAM 政策不允许 EC2 访问

Posted 2023-04-13

【中文标题】IAM 政策不允许 EC2 访问

【英文标题】：IAM Policy isn't allowing EC2 access

【发布时间】：2015-04-23 22:27:49

【问题描述】：

我有一个政策：

    "Version": "2012-10-17",
    "Statement": [
        
            "Sid": "Stmt1429817158000",
            "Effect": "Allow",
            "Action": [
                "ec2:*"
            ],
            "Resource": [
                "arn:aws:ec2:*"
            ]
        
    ]

这是附加到一个组。该组有一个用户。当我使用该用户的凭据登录 myloginthing.signin.aws.amazon.com 时，我无法执行与 EC2 相关的任何操作。对于页面上的每个操作，它都会为我提供诸如“您无权描述正在运行的实例”之类的消息。

IAM 策略模拟器告诉我任何操作都被拒绝，因为

隐式拒绝（未找到匹配的语句）。

我错过了什么？

【参考方案1】：

这实际上花了我一段时间才弄清楚。

事实证明，您必须将每个操作（在您的示例中，ec2:*）与一组允许的资源（在您的示例中，arn:aws:ec2:*）匹配。

问题在于并非每个操作都具有相同的允许资源集 - 因此，虽然您可以为 RunInstances 使用许多不同的资源，但 DescribeInstances 仅支持 *。

完整列表可在here

（注意：发布链接是因为 a）列表非常大，并且 b）它可能会随着时间的推移发生显着变化。

【讨论】：

谢谢，你能解释一下你是如何从那个链接中得到 RunInstances 只支持 * 而不是 arn:aws:ec2:* 的吗？

RunInstances 有很多资源——DescribeInstances 只支持 *.在页面的“重要”部分下，第一句是“如果此表中未列出 Amazon EC2 API 操作，则它不支持资源级权限。”还有一个指向“不支持的资源级权限”列表的页面的链接。

【参考方案2】：

实际上可以使用 ec2:* 作为允许操作，但 "arn:aws:ec2:*" 是无效的 Amazon 资源名称。

将"arn:aws:ec2:*" 替换为"arn:aws:ec2:::*" 或只是"*" 应该可以工作。

见Amazon Resource Names (ARNs) and AWS Service Namespaces

【讨论】：

我认为这不是真的。当我尝试保存策略时，arn:aws:ec2:::* 会导致 An error occurred: Resource arn:aws:ec2:::* contains an invalid region for vendor ec2.。 arn:aws:ec2:*:*:* 将保存但不修复任何内容。

@Philip 尝试在其中添加您的区域，例如arn:aws:ec2:us-west-1::*（只有最后一部分，也就是路径可以使用*通配符）

【参考方案3】：

您必须填写所有资源：

                arn:aws:ec2:*::image/*
                arn:aws:ec2:*::snapshot/*
                arn:aws:ec2:*:*:subnet/*
                arn:aws:ec2:*:*:network-interface/*
                arn:aws:ec2:*:*:security-group/*
                arn:aws:ec2:*:*:volume/*
                arn:aws:ec2:*:*:instance/*
                arn:aws:ec2:*:*:network-interface/*
                arn:aws:ec2:*:*:key-pair/*