在我的AWS账户中,我们有三个不同的应用程序,A,B,C
我想为B团队创build一个IAM策略,允许他们创build新的EC2实例,但将其限制为在B资源组中进行标记,或者可以将该新实例与B组明确关联。 那可能吗?
是的,这对IAM来说是完全可能的,使用Condition元素。 Condition元素可以让你构buildexpression式,在这个expression式中你可以使用布尔运算符来匹配一个条件,在你的情况下,这个条件是一个具有特定标签的资源。
例如,如果使用“GroupB”标记所有应用程序B资源,则以下IAM策略将限制用户只能启动,停止和重新引导具有该标记的EC2资源:
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "ec2:StartInstances", "ec2:StopInstances", "ec2:RebootInstances" ], "Condition": { "StringEquals": { "ec2:ResourceTag/GroupB":"true" } }, "Resource": [ "arn:aws:ec2:your_region:your_account_ID:instance/*" ], "Effect": "Allow" } ] }
您可以在AWS “什么是资源组”页面上find关于资源组的更多信息。