编写 IAM 策略,其中任何具有 EC2 完全访问权限的用户都不能删除 AWS 账户中任何其他用户的实例
Posted
技术标签:
【中文标题】编写 IAM 策略,其中任何具有 EC2 完全访问权限的用户都不能删除 AWS 账户中任何其他用户的实例【英文标题】:Write IAM Policy in which any user with full access of EC2 cannot delete instance of any other user in AWS account 【发布时间】:2017-08-23 18:51:04 【问题描述】:我想编写 IAM 策略,其中不允许任何具有 ec2 完全访问权限的用户终止任何其他用户的实例。
第二种情况:如果我是 aws 中的普通用户(具有除 IAM 和管理员访问之外的所有权限),我想列出我创建的实例,而其他用户实例对我不可见。例如,在 Azure 中,当我向任何其他用户授予资源级别访问权限时,他无法列出查看其他用户活动。
【问题讨论】:
【参考方案1】:
"Version": "2012-10-17",
"Statement": [
"Sid": "ThisLimitAccessToOwnerAccess",
"Effect": "Allow",
"Action": [
"ec2:RebootInstances",
"ec2:StopInstances",
"ec2:TerminateInstances",
"ec2:StartInstances",
"ec2:AttachVolume",
"ec2:DetachVolume"
],
"Resource": "arn:aws:ec2:us-east-1:123456789:instance/*",
"Condition":
"StringEquals":
"ec2:ResourceTag/Owner": "$aws:username"
]
(已编辑以更正格式)
【讨论】:
以上是关于编写 IAM 策略,其中任何具有 EC2 完全访问权限的用户都不能删除 AWS 账户中任何其他用户的实例的主要内容,如果未能解决你的问题,请参考以下文章
如何创建 IAM 策略以根据子网名称标签控制对 Amazon EC2 资源的访问?