我的AWS Amazon帐户中有几个EC2实例。我有一个要让外包商使用的特定EC2实例(停止,启动,管理安全组,调整磁盘空间大小等)。
我尝试使用IAM策略来执行此操作,但是从我看到的情况来看,DescribeInstances允许用户查看帐户中的所有实例。当我尝试编辑特定资源的策略时,它显示错误,因为它DescribeInstances不是资源级策略,因此它必须具有资源“ *”。
我当时在想,也许允许他进入另一个地区,然后将实例放在那里。另一种选择是使用组织(有点复杂,但看起来很有希望,很高兴了解这是否可行)。
我想念什么吗?什么是实现我所需的最佳解决方案?
答案 0 :(得分:6)
如果您想授予外包商在您的账户中调用AWS服务的权限,那么从安全角度来看,将这些资源放到子账户中将更加安全 strong>。
这样,可以确保您的凭据不会影响您的任何其他资源和服务。
替代方法太复杂而无法管理。例如,安全组可以与许多实例相关联,一个实例可以具有许多安全组。无法在IAM策略中进行编码。