Как мы можем ограничить пользователя IAM запуском экземпляра EC2 и VPC только через Cloudformation?

Как мы можем ограничить пользователя IAM запуском экземпляра EC2 и VPC только через Cloudformation. Я не хочу, чтобы пользователь запускал экземпляр EC2 и VPC напрямую с консоли.


amazon-web-services amazon-ec2 amazon-iam amazon-cloudformation aws-iam
person Atish Kumbhar    schedule 27.06.2018    source источник

Ответы (1)


arrow_upward
3
arrow_downward

Два варианта:

Использование роли в AWS CloudFormation

При запуске стека CloudFormation можно указать роль. Эта роль может иметь необходимые разрешения для запуска стека, даже если у пользователя его нет.

См .: Роль службы AWS CloudFormation - AWS CloudFormation

Используйте каталог сервисов AWS

AWS Service Catalog позволяет создать портфель предложений, которые пользователи могут запускать. Он использует роль для запуска служб, даже если сам пользователь не имеет разрешения на запуск самих служб.

См. Документацию по каталогу сервисов AWS

person John Rotenstein    schedule 28.06.2018
comment
Использование роли с AWS CloudFormation. Вы имеете в виду, что мне нужно создать роль с учетной записью root, которую пользователь может указать при запуске стека? - person Atish Kumbhar; 28.06.2018
comment
Верный. Пользователю потребуются iam:PassRole разрешения, чтобы роль могла выбрать ее при запуске стека. Разрешения лучше всего настроить так, чтобы они могли использовать только роль с CloudFormation или этот конкретный стек, чтобы они не могли отдельно взять на себя роль и запускать ресурсы EC2. - person John Rotenstein; 29.06.2018