Задача была простой - экономить деньги и включать-выключать машинку при необходимости.
Человек умел работать из aws cli. Ему в итоге дадены были права на start/stop/describe. А вот указать конкретный InstanceID не можно и потому вот такой Condition по тэгу Role: jupyter-anaconda3
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "jupyter1",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:DescribeInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:us-east-2:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Role": "jupyter-anaconda3"
}
}
},
{
"Sid": "jupyter2",
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"cloudwatch:*"
],
"Resource": "*"
}
]
}
Конечно, не забыть о том, что бы не давать человеку права на создание или смену тэгов всем другим инстанцам а то смысла не будет в этом полиси....
Человек умел работать из aws cli. Ему в итоге дадены были права на start/stop/describe. А вот указать конкретный InstanceID не можно и потому вот такой Condition по тэгу Role: jupyter-anaconda3
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "jupyter1",
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:DescribeInstances",
"ec2:StopInstances"
],
"Resource": "arn:aws:ec2:us-east-2:*:instance/*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Role": "jupyter-anaconda3"
}
}
},
{
"Sid": "jupyter2",
"Effect": "Allow",
"Action": [
"ec2:Describe*",
"cloudwatch:*"
],
"Resource": "*"
}
]
}
Конечно, не забыть о том, что бы не давать человеку права на создание или смену тэгов всем другим инстанцам а то смысла не будет в этом полиси....
Комментариев нет:
Отправить комментарий