ec2-create-image 需要哪些 IAM 权限？

Question

ec2-create-image 需要哪些 IAM 权限？

wwa*_*ren 8 amazon-ec2 amazon-web-services aws-cli

我查看了官方文档，似乎找不到任何关于 IAM 用户需要哪些权限才能使用此命令的参考。

我希望 IAM 用户只能为这个特定实例创建图像，所以我的策略设置如下：

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt999",
      "Effect": "Allow",
      "Action": [
        "ec2:CreateImage"
      ],
      "Effect": "Allow",
      "Resource": [
        "arn:aws:ec2:us-east-1:<my account id>:instance/<my instance id>"
      ]
    }
  ]
}

Run Code Online (Sandbox Code Playgroud)

但是我在使用 EC2 CLI 时不断收到拒绝访问错误。我将Resource部分更改为 just"*"现在它可以工作了，但是现在我的 IAM 用户可以为我账户中的任何 EC2 实例创建 AMI（因此导致重新启动）。

我怎样才能锁定它？

Answer 1

Baz*_*zze 8

不幸的是，您目前无法将其锁定在资源级别。有很多EC2 操作不支持资源级别权限，这ec2:CreateImage就是其中之一。

Answer 2

小智 7

创建映像还涉及创建附加到该实例的快照。以下 IAM 策略应该有效。

{     
  "Effect": "Allow",
  "Action": [
    "ec2:Describe*",
    "ec2:CreateSnapshot",
    "ec2:CreateImage"
  ],
  "Resource": [
    "*"
  ]
}

Run Code Online (Sandbox Code Playgroud)

归档时间：	10 年，11 月前
查看次数：	11781 次
最近记录：	7 年，9 月前