Я бы хотел:
Пример: хотя учетная запись AWS EC2 имеет 10 экземпляров, новый пользователь, UserA, может запускать или останавливать InstanceA, но больше ничего не может делать с этой учетной записью (не запускать экземпляры, не возиться с томами и т. Д.).
Есть ли простой способ предоставить одному пользователю полный доступ к одному ресурсу, подобному этому, но не получить доступа ни к чему другому?
Собственно, инстансы EC2 делать есть ARN. Каждый ресурс в EC2 имеет ARN. Пример экземпляра ARN выглядит следующим образом:
arn: aws: ec2: region: account: instance / instance-id
Вы можете предоставить конкретному пользователю доступ к определенному идентификатору экземпляра. Вы можете включить действия, которые разрешено запускать пользователю.
Видеть http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html#ec2-supported-iam-actions-resources за ресурсы и действия, а также за условия.
У инстансов EC2 нет «имени ресурса Amazon» (ARN), поэтому вы не можете написать политику IAM, разрешающую пользователю доступ к одному инстансу.
Если я могу предложить другой подход. Самый простой способ обработать этот тип запроса, вероятно, - предоставить пользователю SSH-доступ к экземпляру и разрешить sudo команды, которые вы хотите, чтобы они могли выполнять, например, перезагрузка.
ИЗМЕНИТЬ: Забыл упомянуть, что в Интернете есть хороший инструмент AWS Policy Generator, который очень полезен. http://awspolicygen.s3.amazonaws.com/policygen.html
РЕДАКТИРОВАТЬ: Теперь это возможно. http://blogs.aws.amazon.com/security/post/Tx29HCT3ABL7LP3/Resource-level-Permissions-for-EC2-Controlling-Management-Access-on-Specific-Ins