Вы можете ограничить политику, чтобы только определенные типы экземпляра:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:region::image/ami-*",
"arn:aws:ec2:region:account:instance/*",
"arn:aws:ec2:region:account:subnet/*",
"arn:aws:ec2:region:account:network-interface/*",
"arn:aws:ec2:region:account:volume/*",
"arn:aws:ec2:region:account:key-pair/*",
"arn:aws:ec2:region:account:security-group/sg-12345678"
],
"Condition": {
"StringEquals": {
"ec2:InstanceType": "m1.small"
}
}
}
]
}
Эта политика позволяет пользователю запустить экземпляр в VPC, но только m1.small тип экземпляра.
Вы также можете ограничить права доступа к определенным ОИМ, подсетям и т. Д. Например, группа безопасности ограничена одной конкретной политикой.
Вы не можете ограничить количество экземпляров, запущенных с помощью политики IAM.
См. IAM user to limit number of ec2 instances and type и Example Policies for Working in the Amazon EC2 Console