AWS IAM управление группой экземпляров EC2

Question

Мы используем разрешения IAM для групп и пользователей с большим успехом для S3, SQS, Redshift и т. Д. IAM для S3, в частности, дает прекрасный уровень детализации по пути и ведру.

Я натыкаюсь на некоторые царапины, когда дело доходит до разрешений EC2.

Как создать разрешение, которое позволяет СИА пользователю:

• создать до п экземпляров
• делать все, что он/она хочет, чтобы в тех случаях, только (выгрузить/стоп/Опишите)

... и не позволяет ему повлиять на другие наши случаи (изменить окончание/прекратить/и т.д.)?

Я пробовал условия на теге ("Condition": {"StringEquals": {"ec2:ResourceTag/purpose": "test"}}), но это означает, что все наши инструменты необходимо изменить, чтобы добавить этот тег во время создания.

Есть ли более простой способ?

Answer 1

Ограничение количества экземпляров, которые может создать пользователь IAM, возможно (к сожалению). Все, что у вас есть, - это ограничение количества экземпляров во всей учетной записи.

Ограничение разрешений для конкретных случаев возможно, но вы должны указать разрешения для каждого экземпляра-ID, используя этот формат:

arn:aws:ec2:region:account:instance/instance-id 

Более подробная информация доступна здесь:

http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html