amazon-web-services - AWS IAM 策略拒绝对自动扩展组或 ECS 集群内的任何 EC2 实例的权限
问题描述
我有一个 EC2 启动类型的 ECS 集群和一个自动缩放组来自动调整集群中 EC2 节点的数量。
编写一个 IAM 策略来拒绝对集群和 ASG 的所有访问非常简单。我还想将任何非读取ec2IAM 权限限制为作为该集群的一部分启动的 EC2 实例本身。那可能吗?我不能使用实例 ID,因为实例的数量会动态变化。
这是一个示例 IAM 策略。如您所见,Resource被定义为一个实例 ID,这不适用于我的情况。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Deny",
"Action": [
"ec2:RebootInstances",
"ec2:TerminateInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:us-east-1:123456789000:instance/i-123456789"
}
]
}
解决方案
我相信 ASG 启动的实例将具有您可以识别它们的标签。您应该能够根据所述标签应用策略。
推荐阅读
- typescript - 材质 UI 日期时间选择器示例
- php - Doctrine PrePersist/PreUpdate 不会触发
- javascript - nodemon Internal watch failed: watch /Users/admin/Library/Application Support/Code/1.26.1-shared.sock Unknown system error -102
- c# - Trouble adding images to C# WPF .NetCore WPF application
- instagram - 使用 Instagram 基本显示 API 获取用户媒体
- swift - 如何制作具有透明背景的椭圆/圆形 UIImage?
- python - 将 matplotlib 可拖动线模块导入 PyQt5
- c - 为什么 (true && true) 会引发错误,而 (1 && 1) 不会?
- c# - Autofac.Core.DependencyResolutionException:没有找到带有“Autofac.Core.Activators.Reflection.DefaultConstructorFinder”的构造函数
- reactjs - 单击另一个组件时如何渲染组件?反应