Amazon-Ec2
ec2-create-image 需要哪些 IAM 權限?
我查看了官方文件,似乎找不到任何關於 IAM 使用者需要哪些權限才能使用此命令的參考。
我希望 IAM 使用者只能為這個特定實例創建圖像,所以我的策略設置如下:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt999", "Effect": "Allow", "Action": [ "ec2:CreateImage" ], "Effect": "Allow", "Resource": [ "arn:aws:ec2:us-east-1:<my account id>:instance/<my instance id>" ] } ] }
但是在使用 EC2 CLI 時,我不斷收到拒絕訪問錯誤。我將
Resource
部分更改為 just"*"
現在它可以工作了,但現在我的 IAM 使用者可以為我賬戶中的任何 EC2 實例創建 AMI(因此導致重新啟動)。我怎樣才能鎖定這個?
不幸的是,您目前無法將其鎖定在資源級別。有一堆不支持資源級別權限的 EC2 操作
ec2:CreateImage
就是其中之一。
創建映像還涉及創建附加到該實例的快照。下面的 IAM 政策應該有效。
{ "Effect": "Allow", "Action": [ "ec2:Describe*", "ec2:CreateSnapshot", "ec2:CreateImage" ], "Resource": [ "*" ] }