如何创build一个策略,允许组中的单个用户在特定的VPC和AZ中创build单个ec2实例。 它可以被同一个用户销毁或闲置超过24小时后被销毁。
AWS不提供您的任何要求,当然不是IAM政策。
您可以创build一个将创build限制为单个区域/ AZ的IAM策略,但不能限制用户创build的同时运行的实例的数量。 你可以通过创build一个/ 28子网(最小的AWS允许)来创build一个人工限制,限制configuration文件在该子网中创build/销毁,每次最多允许14个实例,但这还不是你想要的。
此外,AWS不知道您的实例在任何时候正在做什么,因此无法分辨正在运行的实例是否“闲置”。 没有运行用户级进程的实例仍在使用CPU(对AWS CloudWatch可见)用于系统进程。 当然,没有IAM策略types用于“在任意度量上终止我的实例”。
您将不得不创build自己的解决scheme。 另一种方法是创build一个Lambda函数,该函数一次最多可以创build一个正在运行的实例(可能通过标记或安全组成员进行跟踪),并为您的用户提供IAM策略来执行Lambda函数,但是您仍然可以想出一个方法来决定一个实例是否“空闲”,如果你想基于此自动终止。