服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 适用于AvailabilityZone的AWS策略
Intereting Posts
如何在后台使用PHP Pear发送邮件 Git克隆/推/拉 – 用户名是从哪里来的? select在Azure中拆除哪个实例 HTTPS / HTTP通过.htaccessredirect 220 **** smtp横幅,而在Windows XP上的telnet邮件服务器,hmail服务器linksys WRT120 n路由器 是在MACconfiguration文件特定的代理设置 从PXE引导文件创build可启动的USB拇指驱动器 我如何pipe理公司的电子邮件服务? 帮助nginx重写 有一个反向但仍然有问题反向DNS指向未知的主机名 ISS 7 – 如何知道用户closures应用程序? 如何在我的托pipe服务器上使用SVN来跟踪我的PHP项目? 如何与其他小型企业系统pipe理员联网? 我可以在非AD独立服务器上使用GroupPolicy PowerShell模块吗? Exchange 2003-Exchange 2010迁移后GAL / OAB问题

适用于AvailabilityZone的AWS策略

我被要求制定一项政策并将其附加到一个angular色上:政策必须做到:

  1. 描述AWS中的所有内容
  2. 允许有限访问EC2,例如创build实例,创buildAIM,创build快照,附加驱动器等,但是我希望这些策略被附加到基于区域的angular色上。 所有这一切都是为了避免用户删除所有跨区域的EC2,所以如果用户删除错误等实例,他有权删除该区域only..any想法?

谢谢

我做到这一点 

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1499242644000", "Effect": "Allow", "Action": [ "ec2:*" ], "Resource": [ "*" ] }, { "Sid": "Stmt1499243073000", "Effect": "Deny", "Action": [ "ec2:TerminateInstances" ], "Condition": { "StringEquals": { "ec2:AvailabilityZone": "eu-west-2a" } }, "Resource": [ "arn:aws:ec2:*:*:instance/*" ] } ]

}

AWS在IAM构build器中提供的只读策略可能适用于您; 我需要一些更明确的东西,所以我为我的需要制定了一个只读政策 。

不幸的是,你只能限制每个区域,而不是所有的资源都有IAM策略,接受区域特定的参数。

通常情况下,通过将有问题的资源放入VPC,然后将相关的呼叫限制在VPC内运行,将会取得更好的成效。