Crie uma política do AWS IAM que permita que apenas recursos sejam criados dentro de um determinado grupo de recursos?

Question

Crie uma política do AWS IAM que permita que apenas recursos sejam criados dentro de um determinado grupo de recursos?

#1 resposta do (6 votos)

2

Na minha conta da AWS, temos três aplicativos diferentes, A, B, C.

Eu quero criar uma política do IAM para a equipe B que permita criar novas instâncias do EC2, mas limitá-la a ser marcada dentro do grupo de recursos B ou alguma outra restrição que possa associar definitivamente essa nova instância ao grupo B . Isso é possível?

amazon-web-services amazon-iam

por kenwarner 17.09.2015 / 21:36

1 resposta

Tags amazon-web-services amazon-iam

Roteamento entre sub-redes pfSense e VPN IPSec HAProxy redireciona o tráfego para o NGINX recebendo erro “A solicitação HTTP simples foi enviada para a porta HTTPS”

score 6 · Answer 1

Sim, isso é absolutamente possível com o IAM, usando o Condition elemento. O elemento Condição permite criar expressões nas quais você pode usar operadores booleanos para corresponder a uma condição, que no seu caso será um recurso com uma tag específica.

Por exemplo, se você marcar todos os recursos do aplicativo B com "GrupoB", a política abaixo do IAM restringirá o usuário a poder iniciar, interromper e reinicializar recursos do EC2 somente que tenham esse recurso tag:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",      
        "ec2:RebootInstances"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/GroupB":"true"
        }
      },
      "Resource": [
        "arn:aws:ec2:your_region:your_account_ID:instance/*"
      ],
      "Effect": "Allow"
    }
  ]
}

Você pode encontrar mais informações sobre Grupos de recursos na AWS " O que são grupos de recursos ".