Назад | Перейти на главную страницу

Политики AWS для AvailabilityZone

Меня попросили создать политику и привязать ее к роли: Политика должна выполнять:

  1. Опишите * все в AWS
  2. Разрешить ограниченный доступ к EC2, например Создавайте экземпляры, создавайте AIM, создавайте моментальные снимки, присоединяйте диски и т. Д. Однако я хочу, чтобы эти политики были привязаны к этой роли в зависимости от региона. Все это сделано для того, чтобы пользователи не удаляли все EC2 в разных регионах, поэтому, если пользователь удаляет экземпляры по ошибке и т. Д., Он имеет право удалять только в этом регионе .. есть идея?

Спасибо

я сделал это, сделав это 

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "Stmt1499242644000",
        "Effect": "Allow",
        "Action": [
            "ec2:*"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Sid": "Stmt1499243073000",
        "Effect": "Deny",
        "Action": [
            "ec2:TerminateInstances"
        ],
        "Condition": {
            "StringEquals": {
                "ec2:AvailabilityZone": "eu-west-2a"
            }
        },
        "Resource": [
            "arn:aws:ec2:*:*:instance/*"
        ]
    }
]

}

Политика только для чтения, которую AWS предоставляет в построителе IAM, может вам подойти; Мне нужно было еще несколько подробностей, поэтому я собрал политика только для чтения для моих нужд.

К сожалению, вы можете ограничить только регион, а не зону AZ - и не все ресурсы имеют политики IAM, которые принимают аргументы, зависящие от региона.

Как правило, вы добьетесь большего успеха, если поместите соответствующие ресурсы в VPC, а затем ограничите соответствующие вызовы для работы только в этом VPC.