Не удается увидеть экземпляр при применении пользовательской политики в IAM в AWS

Я создал политику для ограничения доступа пользователя к одному экземпляру как:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1392113879000",
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:account:instance/instance_id"
      ]
    }
  ]
}

Но я получаю эту ошибку:

You are not authorized to describe Running Instances
You are not authorized to describe Elastic IPs 
You are not authorized to describe Volumes 
You are not authorized to describe Snapshots 
You are not authorized to describe Key Pairs 
You are not authorized to describe Load Balancers 
You are not authorized to describe Placement Groups 
You are not authorized to describe Security Groups

Я не вижу экземпляр в консоли. Если я не могу реализовать это, то какая польза от политик!!

Я застрял, пожалуйста, помогите


amazon-web-services amazon-ec2 amazon-iam
person user3086014    schedule 12.02.2014    source источник

Ответы (2)


arrow_upward
1
arrow_downward

из iam-policies-for-amazon- ec2

В настоящее время не все действия API поддерживают отдельные ARN; позже мы добавим поддержку дополнительных действий API и ARN для дополнительных ресурсов Amazon EC2. Информацию о том, какие ARN можно использовать с какими действиями Amazon EC2 API, а также о поддерживаемых условных ключах для каждого ARN, см. в разделе Поддерживаемые ресурсы и условия для действий Amazon EC2 API.

Так что проводка ec2:* вам не поможет. Вместо этого вы должны указать точные действия API, которые вы хотите предоставить этому пользователю.

Кроме того, цитата из той же ссылки, указанной выше:

Чтобы указать все ресурсы или если конкретное действие API не поддерживает ARN, используйте подстановочный знак * в элементе Resource следующим образом:

Назначение ограничительных политик EC2 IAM немного сложно. Вы можете подробно прочитать указанную выше ссылку, а также эта ссылка.

person slayedbylucifer    schedule 12.02.2014
comment
действие desribe будет работать на * ресурсе. Вы не можете указать имя для ресурса, когда используете действие describe. - person slayedbylucifer; 12.02.2014
comment
тогда это означает, что я не могу ограничить доступ пользователя к одному экземпляру? - person user3086014; 12.02.2014
comment
вы можете заставить его работать только с определенным действием API для одного экземпляра. Пожалуйста, прочитайте ссылки, которые я указал. - person slayedbylucifer; 12.02.2014
comment
я прочитал это, но когда я создаю политику, я вижу, что там указаны действия описания, но когда я отмечаю их для этого пользователя, тогда этот пользователь все равно ничего не видит на консоли!!! Странный. тогда какой смысл в этой политике? - person user3086014; 12.02.2014
comment
а по той же ссылке в примерах смотрите пример 3 там указана политика для конкретного экземпляра. Это работает ? Могу ли я применить политику с помощью SDK или консоли? - person user3086014; 12.02.2014

arrow_upward
0
arrow_downward

Проверьте свой регион. В вашей политике используется US-East-1, но где ваши экземпляры? США-Запад-2?

person Ryan Parman    schedule 12.02.2014
comment
Нет, экземпляр находится в использовании east 1 (N. Virginia) - person user3086014; 13.02.2014