В моем аккаунте AWS есть 3 разных приложения: A, B, C.
Я хочу создать политику IAM для группы B, которая позволяет им создавать новые экземпляры EC2, но ограничивать их тегированием в группе ресурсов B или какое-либо другое ограничение, которое может окончательно связать этот новый экземпляр с группой B. Это возможно?
Да, это абсолютно возможно с IAM, используя Condition элемент. Элемент Condition позволяет создавать выражения, в которых вы можете использовать логические операторы для сопоставления с условием, которое в вашем случае будет ресурсом с определенным тегом.
Например, если вы пометите все ресурсы приложения B с помощью «GroupB», приведенная ниже политика IAM ограничит пользователя возможностью запуска, остановки и перезагрузки. только Ресурсы EC2 с этим тегом:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/GroupB":"true"
}
},
"Resource": [
"arn:aws:ec2:your_region:your_account_ID:instance/*"
],
"Effect": "Allow"
}
]
}
Дополнительную информацию о группах ресурсов можно найти на AWS. «Что такое группы ресурсов» страница.