2016-03-20 14 views
1

一時的セキュリティ資格情報にリソース制限を適用できますか?AWS臨時セキュリティ資格情報のリソース制限

たとえば、各資格情報は1x小規模インスタンスの起動のみが許可されます。

IAM経由でない場合は、他にフックがありますか? rootアカウントを1つのインスタンスに限定することはできません。ユーザーレベルで実行する必要があります。

おかげ

ベン

+0

インスタンスを特定のタイプ(t2.smallなど)に制限できますが、インスタンス数を制限するIAMポリシーはありません。 – helloV

答えて

2

特定のユーザが起動できるインスタンスの数を制御するためにIAMを使用するには、(私の知る限り承知のように)方法はありません。ただし、VPCに小さなサブネットを作成し、そのサブネットへのインスタンスの起動を制限することで同じ効果を得ることができます。

subnet-abcd1234をCIDRの範囲10.120.10.0/28で作成すると、サブネット内に合計14個のIPが与えられます。 AWS documenationによれば、IP 1,2および3は予約されている。これにより、使用可能なIPはわずか11個だけになります。あなたのIAMポリシーで

は、あなたが他のサブネット内のインスタンスを起動拒否することができます:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "Deny", 
     }, 
     "Action": "ec2:RunInstances", 
     "Resource": [ 
     "arn:aws:ec2:eu-west-1:123456789012:network-interface/*" 
     ], 
     "Condition": { 
     "ArnNotEquals": { 
      "ec2:Subnet": "arn:aws:ec2:eu-west-1:123456789012:subnet/subnet-abcd1234" 
     } 
     } 
    } 
    ] 
} 
eu-west-1が地域で

123456789012はAWSアカウントIDです。

サブネット内でインスタンスを1つしか実行できないようにするには、ENI(エラスティックネットワークインターフェイス)をインスタンスに接続せずに作成できます。ここではPythonを使ってインターフェイスを作成する方法は次のとおりです。

import boto.ec2 
connection = boto.ec2.connect_to_region("eu-west-1") 
connection.create_network_interface(subnet_id="subnet-abcd1234", 
            description="placeholder ENI") 

あなたは10 ENISを作成する場合はこれ以上利用できるIPアドレスがないため、その後のサブネットに複数のインスタンスを起動しようとすると、エラーになります。

関連する問題