Amazon-Ec2

ec2-create-image 需要哪些 IAM 權限?

  • October 5, 2021

我查看了官方文件,似乎找不到任何關於 IAM 使用者需要哪些權限才能使用此命令的參考。

我希望 IAM 使用者只能為這個特定實例創建圖像,所以我的策略設置如下:

{
 "Version": "2012-10-17",
 "Statement": [
   {
     "Sid": "Stmt999",
     "Effect": "Allow",
     "Action": [
       "ec2:CreateImage"
     ],
     "Effect": "Allow",
     "Resource": [
       "arn:aws:ec2:us-east-1:<my account id>:instance/<my instance id>"
     ]
   }
 ]
} 

但是在使用 EC2 CLI 時,我不斷收到拒絕訪問錯誤。我將Resource部分更改為 just"*"現在它可以工作了,但現在我的 IAM 使用者可以為我賬戶中的任何 EC2 實例創建 AMI(因此導致重新啟動)。

我怎樣才能鎖定這個?

不幸的是,您目前無法將其鎖定在資源級別。有一堆不支持資源級別權限的 EC2 操作ec2:CreateImage就是其中之一。

創建映像還涉及創建附加到該實例的快照。下面的 IAM 政策應該有效。

{     
 "Effect": "Allow",
 "Action": [
   "ec2:Describe*",
   "ec2:CreateSnapshot",
   "ec2:CreateImage"
 ],
 "Resource": [
   "*"
 ]
}

引用自:https://serverfault.com/questions/672814