AWSでAdminアカウントを持ってまして、さらにEC2にていくつかのインスタンス作ってありますが、新規でユーザーを追加し、そのユーザーに既にあるインスタンスを見れないようにしたいですがどうしたらできますか?
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答1件
0
ベストアンサー
新規で作成したユーザーに関連付けるポリシーに、以下のアクションをDenyする記述を含めれば実現可能かと思います。
ec2:DescribeInstances
1
ただご注意いただきたいのが、「DescribeInstances」は細かく対象を制限できません。
「全部見れる」か「全部見れない」になるイメージを持つと分かりやすいかと思います。
唯一「リージョン単位」でのみ、制限可能です。
All Amazon EC2 actions can be used in an IAM policy to either grant or deny users permission to use that action. However, not all Amazon EC2 actions support resource-level permissions, which enable you to specify the resources on which an action can be performed. The following Amazon EC2 API actions currently do not support resource-level permissions; therefore, to use these actions in an IAM policy, you must grant users permission to use all resources for the action by using a * wildcard for the Resource element in your statement. All Amazon EC2 actions support the ec2:Region condition key; however, you may not be able to use other Amazon EC2 condition keys for these actions.
###補足
表現が足りていない気がしてきたので追記します。
新規ユーザーにEC2インスタンス見せたくない場合、以下の例のような権限制御が可能です。
- EC2インスタンス全部見れない
- TokyoリージョンのEC2インスタンス全部見れない
- シンガポールリージョンのEC2インスタンスだけ全部見れる
そして、以下のような権限制御はできません。
「既存のEC2インスタンスはTokyoリージョンにある」
「新ユーザーにもTokyoリージョンで新しくインスタンス作成させ、管理させたい」
「新ユーザーに既存のEC2インスタンスは見せたくない」
できない理由は、Nameタグ、Systemタグ、インスタンスIDなど、
リソースを指定しての制限に「DescribeInstances」が対応していないためです。
投稿2017/05/18 00:45
編集2017/05/18 01:40総合スコア172
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2017/05/18 03:50