Diese Frage ist für AWS und ich bin auf der Suche nach einer Cutom-Richtlinie erstellt werden. Ich habe eine Gruppe namens IOT-grp und es gibt einige Instanzen, die als IOT (Key ist Environment und Value ist IOT) markiert sind. Ich möchte zwei Anforderungen erfüllen.Wie kann der Tag-basierte Zugriff auf die IAM-Benutzergruppe in AWS gewährt werden?
1- Ich möchte eine Richtlinie erstellt haben, die es jedem Benutzer, der Teil der IOT-Gruppe ist, ermöglichen sollte, nur Instanzen zu starten/stoppen/neu zu starten, die als IOT markiert sind.
2- Darüber hinaus sollte jeder Benutzer in der IOT-Gruppe in der Lage sein, (nur IOT-Instanzen) zu beenden und neue Instanzen zu erstellen (nur für IOT). Für IOT-, Prod- und QA-Instanzen gibt es verschiedene Sicherheitsgruppen.
Grüße
Danke. Ich bin in der Lage zu testen, dass prod Benutzer Instanzen stoppen/starten kann. Aber, gibt es eine Möglichkeit, ich kann den Zugriff auf den Benutzer prod gewähren, Instanzen erstellen und Sicherheitsgruppen für Prod-Instanzen auswählen? Aus Sicherheitsgruppen sind Namen wie "oraws-prod-dmz01" oder oraws-qa-db02 ". Wir möchten, dass die jeweiligen Teams Zugriff haben, um ihre eigenen Instanzen zu beenden und zu erstellen. Wenn wir sie öffnen, um Instanzen zu erstellen, erstellen Benutzer eine Instanz und assoziieren prod security group zu ihrer Instanz und erhalten Zugang zu Produktions-Netzwerk, die nicht sicher ist. Alternative oder bessere Möglichkeit? – user3183426
Ich glaube nicht, gibt es eine Möglichkeit, die Verwendung einer bestimmten Sicherheitsgruppe zu erzwingen. Wenn Sie erzwingen müssen Dann sollten Benutzer ihre Instanz über eine zwischengeschaltete App (die Sie schreiben) anfordern, die die Instanzen für sie startet, aber Ihre Standards durchsetzt.Sie entfernen dann die Berechtigungen für die Benutzer, Instanzen selbst zu starten. –