我查看了官方文档 ,似乎无法find任何有关IAM用户为了能够使用此命令而需要哪些权限的参考。
我希望IAM用户只能为这个特定的实例创build图像,所以我的策略设置如下:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt999", "Effect": "Allow", "Action": [ "ec2:CreateImage" ], "Effect": "Allow", "Resource": [ "arn:aws:ec2:us-east-1:<my account id>:instance/<my instance id>" ] } ] } 但是,在使用EC2 CLI时,我不断收到拒绝访问错误。 我将Resource部分更改为"*" ,现在它可以工作,但现在我的IAM用户可以创buildAMI(因此导致重新启动)到我帐户中的任何EC2实例。
我怎样才能locking这个?
不幸的是,您目前无法在资源级别上locking此项目。 有一堆EC2操作不支持资源级权限和ec2:CreateImage就是其中之一。
创build映像还涉及创build附加到该实例的快照。 IAM政策下面应该工作。
{ "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:CreateSnapshot", "ec2:CreateImage" ], "Resource": [ "*" ] }
您不能在资源级别上locking/限制CreateImage,并且@nkryption回答是正确的。 http://docs.aws.amazon.com/AWSEC2/latest/APIReference/ec2-api-permissions.html
按照说明使用IAMangular色
尝试使用create-image设置标志“--no-reboot”。 这将停止您的服务器重新启动时创buildAMI'例如:
##实际的ami备份,并将ami id存储在“AMI”
AMI = $(aws ec2 create-image --instance-id $ {instance-id} --name $ {Random-Name} .AutoScript。$ {DATE} --description'这是由amibackup.sh创build的 - no-reboot | $ {GREP} -i ami)