0

有人可以解释为什么 AWS 将角色设计为具有像整个服务(EC2、Lambda 等)这样的委托人,即无法关联/限制以由特定的 EC2 实例类型或特定的 Lambda 函数承担 - 我错过了关键的 AWS 设计理念在这里?

如果我想将特定角色限制为只能由 t2.micro EC2 实例(并且没有其他 EC2 实例系列类型)承担,这在 AWS 中可以实现吗?如果可以做到这一点,该限制将写入哪个权限策略?

尝试将下面的条件部分添加到角色的“受信任的身份”策略中,但这不起作用,即其他实例类型示例 t2.large 也能够执行操作,例如创建存储桶(使用 CLI)。

"Condition": {
"StringEquals": {
"ec2:InstanceType": [
"t2.micro"
]} }
4

1 回答 1

1

不,不可能在信任策略中设置限制。

如果您只想在特定实例上使用某些 IAM 角色,则需要通过使用iam:PassRole. 这是确定某人是否有权将特定角色传递给服务(例如 EC2 实例)的权限。简而言之:您可以限制允许谁选择 IAM 角色,然后相信他们知道何时正确使用它。

于 2020-02-14T00:34:39.740 回答