Политика без доступа к EC2: DescribeInstance не будет работать. Вы должны разрешить доступ к Описаниям всех ресурсов и управлять дополнительным доступом, например, изменять, удалять до определенных экземпляров в зависимости от того, что это необходимо.
Короче говоря, разрешите всем основным операциям, таким как Описать теги, экземпляры, NetworkACL, изображения и т. Д. Всем пользователям и разрешить конкретные деструктивные действия, такие как «Изменить» и «Удалить», чтобы выбрать пользователя.
Список EC2 действий для вашей ссылки здесь http://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html
Так у вас есть 2 options-
Создайте одну политику, как показано ниже и приложить ту же политику, как для пользователей
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*Describe*",
"Resource":"*",
},
{
"Effect": "Allow",
"Action": [
"ec2:*Modify*",
"ec2:*Delete*"
],
"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:user/**user-name-1**" },
"Resource": "arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdOne**"
},
{
"Effect": "Allow",
"Action": [
"ec2:*Modify*",
"ec2:*Delete*"
],
"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:user/**user-name-2**" },
"Resource": "arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdTwo**"
}
]}
Создайте 2 разных политики. Пример для одного ниже
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2:*Describe*",
"Resource":"*",
},
{
"Effect": "Allow",
"Action": [
"ec2:*Modify*",
"ec2:*Delete*"
],
"Principal": { "AWS": "arn:aws:iam::AWS-account-ID:user/**user-name-1**" },
"Resource": "arn:aws:ec2:us-east-1:AWS-account-ID:instance/**InstanceIdOne**"
}
]}