1. Zuhause
  2. Frage und Antwort
  3. So passen Sie AmazonEC2FullAccess an

So passen Sie AmazonEC2FullAccess an

2017-10-20 6 views
0

Ich habe ein AWS-Konto und habe nur wenige Leute zu einer Gruppe hinzugefügt, die "Sales" genannt werden und dieser Gruppe ist die IAM-Rolle "AmazonEC2FullAccess" zugewiesen. Nach meinem Verständnis kann die Gruppe "Vertrieb" alle EC2-Ressourcen anzeigen, neue Instanzen erstellen und alte beenden.So passen Sie AmazonEC2FullAccess an

Ich möchte diese Gruppe beschränken, um nur Instanzen anzuzeigen und zu erstellen, und NICHT in der Lage sein, Instanzen zu entfernen. Wie kann ich diese AmazonEC2FullAccess-Rolle bearbeiten/ändern, um den Beendigungsvorgang von Instanzen zu deaktivieren?

Quelle

2017-10-20 Aun Raza

Antwort

0

Um Ihre Frage direkt zu beantworten, können Sie nicht ändern AmazonEC2FullAccess, da es eine integrierte Richtlinie ist. Sie können jedoch ausdrücklich EC2-Instanz Beendigung verweigern durch Zugabe von Inline-Politik zu dieser Gruppe wie folgt aus:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Stmt1508489064000", 
      "Effect": "Deny", 
      "Action": [ 
       "ec2:TerminateInstances" 
      ], 
      "Resource": [ 
       "arn:aws:ec2:us-east-1:ACCOUNT_ID:instance/*" 
      ] 
     } 
    ] 
}

zuordnen AmazonEC2FullAccess zum Umsatz Menschen ist eine schreckliche Idee.

Quelle

2017-10-20 08:48:58

0

Ich empfehle Ihnen, die Mindestprivilegierungsmethode zu verwenden (Zugriffserlaubnis nur für das, was benötigt wird).

Bringen Sie die unten Inline Custom policy zum Sales Gruppe unter Permissions Registerkarte.

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": "ec2:Describe*", 
      "Resource": "*" 
     }, 
     { 
      "Effect": "Allow", 
      "Action": "elasticloadbalancing:Describe*", 
      "Resource": "*" 
     }, 
     { 
      "Effect": "Allow", 
      "Action": [ 
       "cloudwatch:ListMetrics", 
       "cloudwatch:GetMetricStatistics", 
       "cloudwatch:Describe*" 
      ], 
      "Resource": "*" 
     }, 
     { 
      "Effect": "Allow", 
      "Action": "autoscaling:Describe*", 
      "Resource": "*" 
     }, 
     { 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:CreateImage", 
       "ec2:CreateKeyPair", 
       "ec2:CreateNetworkInterface", 
       "ec2:CreatePlacementGroup", 
       "ec2:CreateSecurityGroup", 
       "ec2:CreateSnapshot", 
       "ec2:CreateVolume", 
       "ec2:ModifyHosts", 
       "ec2:AllocateAddress", 
       "ec2:AllocateHosts", 
       "ec2:AssignIpv6Addresses", 
       "ec2:AssignPrivateIpAddresses", 
       "ec2:AssociateAddress", 
       "ec2:AuthorizeSecurityGroupEgress", 
       "ec2:AuthorizeSecurityGroupIngress", 
       "ec2:AttachVolume", 
       "ec2:CopyImage", 
       "ec2:CopySnapshot", 
       "ec2:RunInstances", 
       "ec2:StartInstances", 
       "ec2:RebootInstances", 
       "ec2:CreateTags", 
       "ec2:DeleteTags" 
      ], 
      "Resource": "*" 
     }  
    ] 
}

ermöglicht diese ihnen grundlegende Operationen mit EC2-Instanzen wie Erstellen Instanz auszuführen, erstellen Sie für diese Instanz Sicherheitsgruppe, Tags etc, aber schränkt von ihnen Löschoperationen durchführen. Grundsätzlich ist diese Richtlinie eine Erweiterung der Richtlinie AmazonEC2ReadOnlyAccess.

Quelle

2017-10-20 09:02:54

Verwandte Themen

 Verwandte Themen