Как мы можем ограничить пользователя IAM запуском экземпляра EC2 и VPC только через Cloudformation. Я не хочу, чтобы пользователь запускал экземпляр EC2 и VPC напрямую с консоли.
Как мы можем ограничить пользователя IAM запуском экземпляра EC2 и VPC только через Cloudformation?
Ответы (1)
Два варианта:
Использование роли в AWS CloudFormation
При запуске стека CloudFormation можно указать роль. Эта роль может иметь необходимые разрешения для запуска стека, даже если у пользователя его нет.
См .: Роль службы AWS CloudFormation - AWS CloudFormation
Используйте каталог сервисов AWS
AWS Service Catalog позволяет создать портфель предложений, которые пользователи могут запускать. Он использует роль для запуска служб, даже если сам пользователь не имеет разрешения на запуск самих служб.
См. Документацию по каталогу сервисов AWS
person
John Rotenstein
schedule
28.06.2018
Использование роли с AWS CloudFormation. Вы имеете в виду, что мне нужно создать роль с учетной записью root, которую пользователь может указать при запуске стека?
- person Atish Kumbhar; 28.06.2018
Верный. Пользователю потребуются
iam:PassRole
разрешения, чтобы роль могла выбрать ее при запуске стека. Разрешения лучше всего настроить так, чтобы они могли использовать только роль с CloudFormation или этот конкретный стек, чтобы они не могли отдельно взять на себя роль и запускать ресурсы EC2.
- person John Rotenstein; 29.06.2018