1. дома
  2. Вопрос и ответ
  3. AWS EC2: политика IAM для ec2: RequestSpotInstances

AWS EC2: политика IAM для ec2: RequestSpotInstances

2016-04-12 10 views
1

Мне нужно создать политику, которая позволила бы пользователю создавать спотовые запросы, но только с определенной подсети и группой безопасности. Это то, что я сделал:AWS EC2: политика IAM для ec2: RequestSpotInstances

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": "ec2:RequestSpotInstances", 
      "Resource": [ 
       "arn:aws:ec2:us-east-1:123456789012:image/ami-*", 
       "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-af016c92", 
       "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-12a34d3c", 
       "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-f0e844cd", 
       "arn:aws:ec2:us-east-1:123456789012:subnet/subnet-026ae728", 
       "arn:aws:ec2:us-east-1:123456789012:key-pair/*", 
       "arn:aws:ec2:us-east-1:123456789012:security-group/sg-b5dd94cd", 
       "arn:aws:ec2:us-east-1:123456789012:security-group/sg-3bda8c42" 
      ] 
     } 
    ] 
}

Но мое создание запроса пятно все еще не:

botocore.exceptions.ClientError: An error occurred (UnauthorizedOperation) when calling the RequestSpotInstances operation: You are not authorized to perform this operation.

Что такое минимальное подмножество разрешений для RequestSpotInstances действия?

Есть ли возможность отладить это?

источник

2016-04-12 Misko

ответ

0

В соответствии с документами EC2 (here) ec2: RequestSpotInstances - это действие, которое относится к категории «Неподдерживаемые разрешения на уровне ресурсов». К сожалению, вам придется установить тег ресурсов для всех ресурсов, как это:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": "ec2:RequestSpotInstances", 
      "Resource": [ "*" ] 
     } 
    ] 
}

Насколько отладка идет, не стоит забывать о тренажере IAM политики, которые могут быть доступны из AWS Console => IAM => Страница пользователя.

источник

2016-04-18 02:31:34 jmac1701

1

Я знаю, что это старая проблема, но я просто столкнулся с той же проблемой в своей среде. Решение для меня заключалось в добавлении разрешения IAM для «PassRole»

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Sid": "Stmt1479335761363", 
     "Action": [ 
     "ec2:DescribeInstances", 
     "ec2:RequestSpotInstances", 
     "ec2:RunInstances", 
     "iam:PassRole" 
     ], 
     "Effect": "Allow", 
     "Resource": "*" 
    } 
}

источник

2016-11-17 17:01:27

Смежные вопросы

 Смежные вопросы