Precisamos delegar o gerenciamento de várias instâncias por meio do console da AWS para um de nossos clientes. Para este propósito, criamos um novo grupo IAM.
Precisamos que esse grupo liste e modifique apenas instâncias específicas do EC2, por exemplo, usando uma tag. Tentamos usar o modelo ec2 somente leitura e modificamos adicionando:
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Tenant": "clientname"
}
}
},...
Isso infelizmente resulta em "Você não está autorizado a descrever Instâncias em Execução" para o console aws e nenhuma instância é mostrada, embora a tag correta exista. Por favor, informe sobre como podemos filtrar as listagens de instâncias com base em tags ou outros métodos (por exemplo, ID de VPC).
Não pode ser feito. O suporte da Amazon respondeu isso:
Unfortunately there isn't a way to only see certain instance(based on ec2-tag, vpc id etc). The "ec2:Describe*" API actions does not support any conditions or resource level ARNs.However you can have a policy wherein all the IAM Group will be able to see all the instances, but will only be able to perform actions like start, stop,reboot and terminate instances on instances with a specific tag
Tags amazon-ec2 amazon-iam