Usando o IAM para compartilhar o EC2 com o grupo

1

Eu preciso compartilhar uma bolsa de estudos com um grupo de estudantes. Eu li sobre o IAM, mas não consigo descobrir como configurar o grupo para que os alunos possam iniciar e controlar instâncias / grupos de segurança sem permitir que eles estraguem meu trabalho pessoal.

Eu tenho essa configuração, que eu li como "permitir qualquer coisa se a instância não está marcada como Falso para o aluno".

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1385328762000",
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "ec2:ResourceTag/Student": "False"
        }
      }
    }
  ]
}

Isso parece não fazer nada com base na tag "Student". Eu também tentei duas políticas, uma sendo uma permitir tudo em ec2 e um sendo um negar todos, se a tag Student for False, como mostrado abaixo. Isso me permite ser o que precisa lembrar de marcar minhas coisas, e os alunos podem fazer o que quiserem. Novamente, isso não parece importar, as contas de alunos que eu teste podem ver o que quiserem, a permissão permitir que toda a política substitua a política de negação se marcada.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1385328762000",
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*"
    }
  ]
}
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt138235328000",
      "Effect": "Deny",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Student": "False"
        }
      }
    }
  ]
}
    
por Hamy 24.11.2013 / 23:29

1 resposta

0

Crie uma segunda conta para os alunos usarem, separada do seu próprio trabalho. Use o faturamento consolidado para que as duas contas sejam processadas pela mesma fatura.

    
por 26.11.2013 / 01:49