нам нужно передать управление несколькими инстансами через консоль AWS одному из наших клиентов. Для этого мы создали новую группу IAM.
Эта группа нужна нам только для перечисления и изменения определенных экземпляров EC2, например используя тег. Мы попробовали использовать шаблон ec2 только для чтения и изменили его, добавив:
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Tenant": "clientname"
}
}
},...
К сожалению, это приводит к появлению сообщения «Вы не уполномочены описывать запущенные экземпляры» для консоли aws, и экземпляры не отображаются, хотя правильный тег существует. Посоветуйте, пожалуйста, как мы можем фильтровать список экземпляров на основе тегов или других методов (например, идентификатора VPC).
Это невозможно. Служба поддержки Amazon ответила на это:
К сожалению, нет возможности увидеть только определенный экземпляр (на основе тега ec2, идентификатора vpc и т. Д.). Действия API «ec2: Describe *» не поддерживают какие-либо условия или ARN на уровне ресурсов. Однако у вас может быть политика, при которой вся группа IAM сможет видеть все экземпляры, но сможет выполнять только такие действия, как запуск, остановить, перезагрузить и завершить экземпляры экземпляров с определенным тегом