0

我的 AWS 亚马逊账户中有几个 EC2 实例。我有一个希望外包商使用的特定 EC2 实例(停止、启动、管理安全组、调整磁盘空间大小等)。

我尝试使用 IAM 策略执行此操作,但据我所见,DescribeInstances 允许用户查看我账户中的所有实例。当我尝试编辑特定资源的策略时,它会显示错误,因为它 DescribeInstances 不是资源级策略,因此它必须具有资源“*”。

我在想也许允许他访问不同的区域,并将实例放在那里。另一种选择是使用组织(有点复杂,但看起来很有希望,如果这是要走的路会很高兴了解)。

我错过了什么吗?实现我需要的最佳解决方案是什么?

4

1 回答 1

7

如果您想授予外包商在您的账户中调用 AWS 服务的权限,那么从安全角度来看,将这些资源放在子账户中会更安全。

这样,您就可以保证他们的凭据不会影响您的任何其他资源和服务。

替代方案太复杂而无法管理。例如,安全组可以与多个实例相关联,一个实例可以有多个安全组。这不可能在 IAM 策略中进行编码。

于 2018-08-20T11:44:13.513 回答