jus*_*dev 0 amazon-ec2 amazon-web-services aws-organizations aws-iam
我的AWS亚马逊帐户中有几个EC2实例.我有一个特定的EC2实例,我希望外包商使用(停止,启动,管理安全组,调整磁盘空间等).
我尝试使用IAM策略,但从我看到的,DescribeInstances允许用户查看我帐户中的所有实例.当我尝试编辑特定资源的策略时,它显示错误,因为它DescribeInstances不是资源级策略,因此它必须具有Resource'*'.
我想也许允许他访问不同的地区,并将实例放在那里.另一个选择是使用组织(有点复杂,但看起来很有前途,很乐意了解这是否可行).
我错过了什么吗?达到我需要的最佳解决方案是什么?
如果您希望授予外包商在您的帐户中调用AWS服务的权限,那么从安全角度来看,将这些资源放在子帐户中会更安全.
这样,您可以保证他们的凭据不会影响您的任何其他资源和服务.
替代方案太复杂而无法管理.例如,安全组可以与许多实例相关联,而一个实例可以具有许多安全组.在IAM策略中编码是不可能的.
| 归档时间: |
|
| 查看次数: |
54 次 |
| 最近记录: |