AWS臨時セキュリティ資格情報のリソース制限

Question

一時的セキュリティ資格情報にリソース制限を適用できますか？

たとえば、各資格情報は1x小規模インスタンスの起動のみが許可されます。

IAM経由でない場合は、他にフックがありますか？ rootアカウントを1つのインスタンスに限定することはできません。ユーザーレベルで実行する必要があります。

おかげ

ベン

Answer 1

特定のユーザが起動できるインスタンスの数を制御するためにIAMを使用するには、（私の知る限り承知のように）方法はありません。ただし、VPCに小さなサブネットを作成し、そのサブネットへのインスタンスの起動を制限することで同じ効果を得ることができます。

subnet-abcd1234をCIDRの範囲10.120.10.0/28で作成すると、サブネット内に合計14個のIPが与えられます。 AWS documenationによれば、IP 1,2および3は予約されている。これにより、使用可能なIPはわずか11個だけになります。あなたのIAMポリシーで

は、あなたが他のサブネット内のインスタンスを起動拒否することができます：

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Deny", 
     }, 
     "Action": "ec2:RunInstances", 
     "Resource": [ 
     "arn:aws:ec2:eu-west-1:123456789012:network-interface/*" 
     ], 
     "Condition": { 
     "ArnNotEquals": { 
      "ec2:Subnet": "arn:aws:ec2:eu-west-1:123456789012:subnet/subnet-abcd1234" 
     } 
     } 
    } 
    ] 
} 

eu-west-1が地域で

と123456789012はAWSアカウントIDです。

サブネット内でインスタンスを1つしか実行できないようにするには、ENI（エラスティックネットワークインターフェイス）をインスタンスに接続せずに作成できます。ここではPythonを使ってインターフェイスを作成する方法は次のとおりです。

import boto.ec2 
connection = boto.ec2.connect_to_region("eu-west-1") 
connection.create_network_interface(subnet_id="subnet-abcd1234", 
            description="placeholder ENI") 

あなたは10 ENISを作成する場合はこれ以上利用できるIPアドレスがないため、その後のサブネットに複数のインスタンスを起動しようとすると、エラーになります。