为什么IAM"AmazonEC2FullAccess"策略不允许用户启动实例？

Question

developers我设立的IAM 小组的政策如下:

但是,启动新实例将不起作用.在该组中的用户选择与其关联的密钥对之后,即到达最后一步,他们在下一页上得到以下消息:

发射失败

您无权执行此操作.编码授权失败消息:WZzytnkJ4T3-nkMYslM ...

根据这些政策,是什么阻止开发人员启动新实例？

Answer 1

可能是实例正在使用IAM角色启动,并且该组没有iam:PassRole权限(在ec2:*权限空间之外).

你应该添加这样的政策:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "PassRoleToEC2",
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "*"
        }
    ]
}

这句话"允许此用户将任何(*)角色传递给EC2实例".

实际上,您应该仅将此类权限限制为特定角色,否则普通用户可以选择管理员角色.然后,如果他们登录到实例,他们将可以访问对整个AWS账户具有管理员权限的凭据.

或者,在启动实例时不要选择角色.它应该启动好(假设这是导致错误的问题).