amazon-web-services - iam - https console aws amazon com ec2 v2 home region us east 1
Política de usuario de Amazon IAM de AWS para acceder SOLO a una instancia de EC2 en la región EU-WEST-1 (1)
Los permisos de nivel de recursos recientemente introducidos para los recursos de EC2 y RDS aún no están disponibles para todas las acciones de la API, pero AWS está agregando gradualmente más, consulte esta nota de Nombres de recursos de Amazon para Amazon EC2 :
Importante Actualmente, no todas las acciones de la API admiten ARN individuales; agregaremos soporte para acciones API adicionales y ARN para recursos adicionales de Amazon EC2 más adelante. Para obtener información sobre qué ARN puede usar con qué acciones de la API de Amazon EC2, así como las claves de condición compatibles para cada ARN, consulte Recursos y condiciones compatibles para las acciones de la API de Amazon EC2 .
Encontrará que todas las ec2:Describe* están, de hecho, aún ausentes en los Recursos y condiciones compatibles para las acciones de la API de Amazon EC2 en el momento de escribir este artículo.
Consulte también Conceder a los usuarios de IAM los permisos requeridos para los recursos de Amazon EC2 para obtener un resumen conciso de lo anterior y detalles sobre las claves de condición de ARN y Amazon EC2 que puede usar en una declaración de política de IAM para otorgar permiso a los usuarios para crear o modificar recursos particulares de Amazon EC2 . esta página también menciona que AWS agregará soporte para acciones adicionales, ARN y claves de condición en 2014 .
Posible solución / alternativa
En lugar de o además de restringir el acceso en el nivel de recurso individual, es posible que desee verificar (también) el uso de Conditions combinadas con variables de política , en la ec2:Region en que ec2:Region es una de las Claves de condición admitidas para Amazon EC2 ; puede combinar su política con uno que maneja específicamente las acciones Describe* , por ejemplo, algo como esto (no probado):
{
"Statement": [
{
"Action": [
"ec2:Describe*"
],
"Effect": "Allow",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:Region": "eu-west-1"
}
}
}
]
}
Tenga en cuenta que esto aún permitiría al usuario ver todas las instancias en eu-west-1 , aunque su fragmento de política original evitaría todas las acciones de la API que ya admiten permisos de nivel de recursos (por ejemplo, creación / finalización de la instancia, etc.).
He descrito otro posible enfoque en la sección Solución parcial dentro de mi respuesta relacionada a Cómo ocultar instancias en EC2 en función de la etiqueta: ¿uso IAM? .
¡Buena suerte!
He leído la documentación de AWS y no fue útil ... al menos no para mí. He leído sobre IAM y la política de usuario en el EC2.
Quiero que los usuarios tengan acceso completo / (o solo algunas acciones permitidas) solo en UNA instancia EC2.
La región que estoy usando es eu-west-1 (Irlanda) . Hice esta política:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*",
"Resource": "arn:aws:ec2:eu-west-1:ACCOUNT_ID:instance/INSTANCE_ID"
}]
}
y cuando me conecto como usuario, veo que no estoy autorizado:
- No estás autorizado para describir instancias en ejecución.
- No estás autorizado para describir Elastic IPs
- Usted no está autorizado para describir volúmenes
- No está autorizado para describir instantáneas
- No estás autorizado para describir pares clave
- No está autorizado para describir los equilibradores de carga.
- No estás autorizado para describir grupos de colocación.
- No estás autorizado para describir grupos de seguridad
Si aplico la siguiente política para el atributo de recurso:
"Recurso": "arn: aws: ec2: *"
está bien, pero no es lo que necesito porque los usuarios tienen acceso en todas las instancias de EC2.
Quiero saber si se trata de un error de AWS o si hay problemas con la región eu-west-1 o ¿esta política no es compatible ya? O tal vez me equivoque, si es así, ayúdame a hacerlo.