Si desidera limitare l'accesso dell'utente e si è utilizzato l'attributo allow
che darà il permesso di accedere all'istanza. È questo il comportamento desiderato?
Se si vuole veramente limitare provare "Effect": "Deny"
nella stessa politica.
Tuttavia, se si desidera consentire l'accesso a determinati utenti, ecco come è possibile farlo.
La seguente politica di seguito funziona bene per me in questo caso. Lo uso per gli sviluppatori per limitare l'accesso per fermare le istanze. Puoi aggiungere tutte le autorizzazioni che vuoi nel secondo blocco.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeInstances*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances*",
"ec2:StopInstances*"
],
"Resource": "arn:aws:ec2:ap-southeast-1:ACCOUNT_ID:instance/i-32ds2a29"
}
]
}
ap-southeast-1
è la regione per il mio caso. Per controllare un'istanza in un vpc specifico, puoi semplicemente usare il suo id. Non esiste un arn separato per vpc + instance_id, invece puoi usare arn:aws:ec2:region:account-id:instance/instance-id
come ar n refer this.
Allo stesso modo è possibile utilizzare lo stesso criterio per limitare gli utenti in specifici VPC utilizzando arn:aws:ec2:region:account-id:vpc/vpc-id
come ARN, l'aggiunta di Azione ec2:*
e deny
a tutti gli effetti.
fonte
2015-12-19 12:01:22
C'è un errore di battitura in "Risorsa". Hai sbagliato a scrivere "regione". – helloV
@helloV Questo non dovrebbe avere importanza, in quanto ho sostituito la regione con la regione effettiva in cui è stato creato il vpc. –
Siamo spiacenti. Questo è stato digitato in fretta. Questa è l'unica politica collegata all'utente? – helloV