Мы используем разрешения IAM для групп и пользователей с большим успехом для S3, SQS, Redshift и т. Д. IAM для S3, в частности, дает прекрасный уровень детализации по пути и ведру.AWS IAM управление группой экземпляров EC2
Я натыкаюсь на некоторые царапины, когда дело доходит до разрешений EC2.
Как создать разрешение, которое позволяет СИА пользователю:
- создать до п экземпляров
- делать все, что он/она хочет, чтобы в тех случаях, только (выгрузить/стоп/Опишите)
... и не позволяет ему повлиять на другие наши случаи (изменить окончание/прекратить/и т.д.)?
Я пробовал условия на теге ("Condition": {"StringEquals": {"ec2:ResourceTag/purpose": "test"}}
), но это означает, что все наши инструменты необходимо изменить, чтобы добавить этот тег во время создания.
Есть ли более простой способ?