0
EC2でいくつかのテストを行っていますが、すでに実行中のインスタンスに対してパーミッションを制限し、他のインスタンスのみを記述したいとします(たとえば、新しいもの、その要求は拒否されるべきです)。実行中のEC2インスタンスに新しいパーミッションを割り当てる方法
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeSecurityGroups",
"ec2:DescribeAvailabilityZones",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:StopInstances",
"ec2:StartInstances"
],
"Resource": "*"
}
]
}
これは理論的には私がすでに実行中のインスタンスにログオンしています新しいインスタンスを作成するから私を防ぐ必要がありますが、そうでない(私はboto
ライブラリを使用しています:
ec2.run_instances()
)。
ご協力いただければ幸いです。
* "理論的には、既に実行中のインスタンスにログオンしたときに新しいインスタンスが作成されないようにする必要があります。" *そのインスタンスのロール資格情報を使用している場合のみ。 *他の資格情報を使用している場合は、その資格情報で許可されているものをすべて実行できます。あなたは何をしているのか、ちょっと明確にすることはできますか? –
@ Michael-sqlbotあなたは正確な問題を発見しました:)ありがとうございます。私はそれを受け入れることができるようにこれを答えに書いてください。 –
私はこの問題を誤解したくありません。問題は、資格情報に関係なく、インスタンスロールポリシーがインスタンスからのすべてのAPI要求に影響を与えたと想定されていますか?または、インスタンスにいくつかのIAM資格情報を保存していて、それを実現せずに使用されていましたか? –