回答編集履歴
1
補足
test
CHANGED
@@ -21,3 +21,37 @@
|
|
21
21
|
|
22
22
|
|
23
23
|
> All Amazon EC2 actions can be used in an IAM policy to either grant or deny users permission to use that action. However, not all Amazon EC2 actions support resource-level permissions, which enable you to specify the resources on which an action can be performed. The following Amazon EC2 API actions currently do not support resource-level permissions; therefore, to use these actions in an IAM policy, you must grant users permission to use all resources for the action by using a * wildcard for the Resource element in your statement. All Amazon EC2 actions support the ec2:Region condition key; however, you may not be able to use other Amazon EC2 condition keys for these actions.
|
24
|
+
|
25
|
+
|
26
|
+
|
27
|
+
###補足
|
28
|
+
|
29
|
+
表現が足りていない気がしてきたので追記します。
|
30
|
+
|
31
|
+
|
32
|
+
|
33
|
+
新規ユーザーにEC2インスタンス見せたくない場合、以下の例のような権限制御が可能です。
|
34
|
+
|
35
|
+
- EC2インスタンス全部見れない
|
36
|
+
|
37
|
+
- TokyoリージョンのEC2インスタンス全部見れない
|
38
|
+
|
39
|
+
- シンガポールリージョンのEC2インスタンスだけ全部見れる
|
40
|
+
|
41
|
+
|
42
|
+
|
43
|
+
そして、以下のような権限制御はできません。
|
44
|
+
|
45
|
+
|
46
|
+
|
47
|
+
「既存のEC2インスタンスはTokyoリージョンにある」
|
48
|
+
|
49
|
+
「新ユーザーにもTokyoリージョンで新しくインスタンス作成させ、管理させたい」
|
50
|
+
|
51
|
+
「新ユーザーに既存のEC2インスタンスは見せたくない」
|
52
|
+
|
53
|
+
|
54
|
+
|
55
|
+
できない理由は、Nameタグ、Systemタグ、インスタンスIDなど、
|
56
|
+
|
57
|
+
リソースを指定しての制限に「DescribeInstances」が対応していないためです。
|