Eu gostaria de:
Exemplo: Embora a conta do AWS EC2 tenha 10 instâncias, o novo usuário, UserA, pode iniciar ou interromper o InstanceA, mas não pode fazer mais nada na conta (sem lançamento de instâncias, sem mexer com volumes etc.).
Existe um método simples para dar a um único usuário acesso total a um único recurso como este, mas sem acesso a qualquer outra coisa?
Na verdade, as instâncias do EC2 do têm um ARN. Todo recurso no EC2 tem um ARN. Um exemplo de uma instância ARN é o seguinte:
arn: aws: ec2: region: conta: instance / instance-id
Você pode conceder a um usuário específico acesso a um ID de instância específico. Você pode incluir ações que o usuário tem permissão para executar.
Veja link para recursos e ações, bem como condições.
As instâncias do EC2 não têm um "Nome de recurso da Amazon" (ARN), portanto, você não pode gravar uma política do IAM para permitir que um usuário acesse uma única instância.
Se eu puder sugerir outra abordagem. A maneira mais fácil de lidar com esse tipo de solicitação é provavelmente dando ao usuário SSH acesso à instância e permitindo que eles usem os comandos que você quer que eles façam, como reinicializar.
EDITED: Esqueci de mencionar que há uma ferramenta on-line do AWS Policy Generator que é muito útil. link
EDITAR: Isso agora é possível. link