ホーム>source

AWS Amazonアカウントに複数のEC2インスタンスがあります。アウトソーサーに使用したい特定のEC2インスタンスが1つあります(停止、開始、セキュリティグループの管理、ディスク領域のサイズ変更など)。

私はIAMポリシーでそれをやろうとしましたが、私が見るところから、DescribeInstancesはユーザーが私のアカウントのすべてのインスタンスを見ることができます。また、特定のリソースのポリシーを編集しようとすると、DescribeInstancesはリソースレベルのポリシーではないため、エラーが表示されます。したがって、リソース「*」が必要です。

私は多分彼に別の地域へのアクセスを許可し、そこにインスタンスを置くことを考えていました。別のオプションは、組織を使用することです(少し複雑ですが、有望そうに見えますが、これが進むべきかどうかを理解して喜んでいます)。

何か不足していますか?必要なものを達成するための最良のソリューションは何ですか?

あなたの答え
  • 解決した方法 # 1

    アカウントのAWSサービスを呼び出す許可をアウトソーサーに与えたい場合は、セキュリティの観点から、それははるかに安全ですそれらのリソースを子アカウントに入れます

    そうすれば、資格情報が他のリソースやサービスに影響を与えないことが保証されます。

    代替案は、管理するには複雑すぎる方法です。たとえば、セキュリティグループは多くのインスタンスに関連付けることができ、1つのインスタンスは多くのセキュリティグループを持つことができます。 IAMポリシー内でコーディングすることはできません。

  • 前へ java - JPAクエリ:サブクエリをグループ化条件に結合する
  • 次へ c# - データをバインドするときにカスタムオブジェクトフィールドにアクセスする