Использование политики AWS Identity Management Access (IAM), можно ограничить следующие пункты для пользователей запуска EC2 экземпляров:Что AWS IAM политика может быть использована для ограничения пользователя к ограниченному числу типов экземпляров
Вы можете ограничить политику, чтобы только определенные типы экземпляра:
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:region::image/ami-*",
"arn:aws:ec2:region:account:instance/*",
"arn:aws:ec2:region:account:subnet/*",
"arn:aws:ec2:region:account:network-interface/*",
"arn:aws:ec2:region:account:volume/*",
"arn:aws:ec2:region:account:key-pair/*",
"arn:aws:ec2:region:account:security-group/sg-12345678"
],
"Condition": {
"StringEquals": {
"ec2:InstanceType": "m1.small"
}
}
}
]
}
Эта политика позволяет пользователю запустить экземпляр в VPC, но только m1.small тип экземпляра.
Вы также можете ограничить права доступа к определенным ОИМ, подсетям и т. Д. Например, группа безопасности ограничена одной конкретной политикой.
Вы не можете ограничить количество экземпляров, запущенных с помощью политики IAM.
См. IAM user to limit number of ec2 instances and type и Example Policies for Working in the Amazon EC2 Console
Насколько я знаю, единственный способ сделать это - установить логический слой с кодом между конечными пользователями и AWS, например, используя некоторый скрипт boto python. Вы также можете развернуть веб-интерфейс, вызывающий ваши скрипты, или использовать инструмент, такой как rundeck, jenkins или что-то еще, и создавать задания в этих интерфейсах.