我查看了官方文档,似乎找不到任何关于 IAM 用户需要哪些权限才能使用此命令的参考。
我希望 IAM 用户只能为这个特定实例创建图像,所以我的策略设置如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt999",
"Effect": "Allow",
"Action": [
"ec2:CreateImage"
],
"Effect": "Allow",
"Resource": [
"arn:aws:ec2:us-east-1:<my account id>:instance/<my instance id>"
]
}
]
}
但是我在使用 EC2 CLI 时不断收到拒绝访问错误。我将Resource部分更改为 just"*"现在它可以工作了,但是现在我的 IAM 用户可以为我账户中的任何 EC2 实例创建 AMI(因此导致重新启动)。
我怎样才能锁定它?