使用IAM策略变量和TAG来控制EC2开关机权限

最新推荐文章于 2023-02-15 15:30:42 发布

aws0to1

最新推荐文章于 2023-02-15 15:30:42 发布

阅读量2k

点赞数

分类专栏： AWS EC2 文章标签： AWS ec2 tag

本文链接：https://blog.csdn.net/aws0to1/article/details/48267157

版权

本文介绍了如何通过AWS IAM策略变量和EC2的TAG来精细化控制用户对EC2实例的开关机权限。策略变量允许复用策略内容，而EC2的TAG用于标记实例属性和状态。创建一个IAM组，分配策略仅允许用户查看和操作与其username匹配的Operator TAG值的EC2实例，从而实现权限控制。

摘要由CSDN通过智能技术生成

为了让EC2使用者自主控制EC2实例的开关机实例，需要设置相应策略给每个用户。

使用策略变量可以尽最大程度复用策略内容。

策略变量

在编写策略时，可以包含变量。

系统在验证策略时，会把变量用实际值替换掉来验证。

例如

${aws:username}

会被当前用户的实际用户名所替代

${aws:CurrentTime}

是当前时间

${aws:SourceIp}

是访问者的IP地址。

EC2的TAG

我们可以给EC2打上各种TAG来标记它的属性或状态。

这里，我们需要给EC2打上一个名为Operator的TAG，值为可以操作它的IAM的username。

假设给某一台EC2给一个值为TEST1的TAG。表明TEST1用户可以对这台机器进行操作。

IAM组

我们创建一个IAM组，自定义策略为

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:DescribeInstances"],
            "Resource": [

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

aws0to1

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

专栏目录

Tungsten Fabric SDN — 基于 Tags 的安全访问控制策略

烟云的计算

12-09

1万+

目录文章目录目录传统的安全访问控制策略基于 Tags（标签）的安全访问控制策略Application Tag 传统的安全访问控制策略传统的的防火墙策略是针对单一 IP 地址，或 Subnet 进行配置的。在任何规模的数据中心中，都会导致防火墙规则的激增。并且这些规则在创建后难以管理，在故障排除时难以理解。这是因为 Host 或 VM 的 IP 地址与具体的 Application 并无关联。如下图所示，假设我们预期通过安全访问控制规则的方式，只允许 Apache 可以访问 J2EE，且只允许 J2EE

AWS EMR内置Ranger插件使用的IAM Role及其设计策略

Laurence的技术博客

06-17

871

AWS EMR提供三种内置的Ranger插件，分别是：S3(EMRFS)，Spark，Hive，如果要启用这些插件，需要创建一些特定的IAM Role，以便相关组件能获得适当的权限。AWS EMR针对Ranger的使用，设计了三种IAM Role，分别是：赋予EMR各EC2节点的Role，赋予Ranger插件的Role和赋予其他服务/组件（非Ranger插件）的Role......

参与评论您还未登录，请先登录后发表或查看评论

aws简单开发之ec2定时开关机

hackstoic的博客

11-01

9301

环境：ubuntu14.04 boto3 python开发包需求： aws的ec2实例是按需收费的，是按需收费的，不用的时候不收费。我用ec2主要是用来翻墙的。所以对我来说一天有将近一半的时间ec2是闲置空转的状态。而闲置的时候又要被aws计时收费。所以我就想能不能通过aws提供的api，来实现定时开关机，从而减少不必要的费用。需求一

aws-ec2-scheduler:定期启动和关闭 AWS EC2 实例的调度程序

06-11

aws-ec2-调度程序定期启动和关闭 AWS EC2 实例的调度程序安装如果您全局安装了 composer，只需运行 composer install 否则从获取作曲家配置将 config/settings.yml.dist 文件复制到 config/settings.yml 并设置aws_key 、 aws_secret和aws_region 调度 EC2 实例启动和关闭编辑 config/schedule.yml 文件并设置您的计划。示例计划作业 test001_job: instance_id: i-941d5871 start: "30 8 * * *" shutdown: "30 17 * * *" 调度字符串格式 * * * * * * - - - - - - |

AWS身份和访问管理模块新增标签和基于属性的访问控制能力

cpongo5

02-13

696

最近，Amazon Web Services（AWS）启用了IAM用户和角色标签，以简化IAM资源的管理工作。值得注意的是，这个版本还提供了基于属性的访问控制（ABAC）能力，并将AWS资源与IAM主体动态匹配，以“简化大规模的权限管理”。最近，Amazon Web Services（AWS）启用了IAM用户和角色标签，以简化IAM资源的管理工作。值得注意的是，这个版本还提供了基于属性的访问控制（...

亚马逊AWS学习——IAM中“AmazonEC2FullAccess”与“ AmazonEC2ReadOnlyAccess”两种访问策略的区别

干勾鱼的CSDN博客

08-05

3955

在亚马逊AWS中经常需要使用IAM服务，即“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后，可以对这些用户的访问权限进行管理。

iam-ssh:使用IAM用户通过SSH到AWS ec2实例

04-07

使用IAM管理AWS EC2 SSH访问 2019年6月：签出作为该项目的替代品 2018年9月：检出以替代该项目使用IAM用户的公共SSH密钥通过SSH访问正在运行的EC2实例亚马逊Linux 2017.09 亚马逊Linux 2 2017.12 Ubuntu 16.04 ...

ec2-tags-env：将AWS EC2标记导入为环境变量

02-05

3. **安全控制**：结合AWS IAM（Identity and Access Management），可以通过实例的"Role"标签来限制实例的权限，确保安全策略得以实施。 4. **监控与报告**：使用"CostCenter"标签，可以追踪每个实例的费用归属，...

iam-docker, 在一个EC2实例上，对每个 Docker 容器使用不同的IAM角色.zip

09-18

iam-docker, 在一个EC2实例上，对每个 Docker 容器使用不同的IAM角色 Docker 这个项目允许 Docker 容器从它的主机使用不同的EC2实例角色。你可以从 Docker-Hub 提取释放图像。动机在EC2中运行应用程序时，只能在...

Amazon EBS LifeCycle Manager 实现EC2 定期备份

shenghuiping2001的专栏

03-28

370

现在AWS 推出了 Lifecycle manager, 备份越来越简单了: 1: 创建两个测试实例：(注意，aws 的界面界面有不同，看下图的左上角，点一下，就可以看到instance 的界面不一样了) 可以先创建好一个EC2, 然后点击上图中的: Launch More like This, 可以创建一个相同类型的instance. 2: 给这两个instance 加上相同的tag: Key: SERVER, Value: TEST: (注意：是instance 的tag) 3: 下.

terratag：Terratag是一个CLI工具，可让Terraform的用户跨其整个AWS，Azure和GCP资源集自动创建和维护标签

01-28

env0制作的Terratag Terratag带给您 :red_heart_selector: 通过让您的团队在AWS，Azure和Google中管理自己的环境。由您的政策管理，并具有完整的可见性和成本管理。什么？ Terratag是一个CLI工具，允许将标签或标签应用于整个Terraform文件集。 Terratag会将标签或标签应用于任何AWS，GCP和Azure资源。为什么？很难在整个应用程序中维护标签，尤其是手动完成时。 Terratag使您可以轻松地将标签添加到现有的IaC中，并受益于您希望在刚开始编写Terraform时就想到的一些跨资源标签应用程序，从而节省了大量的时间并使将来的更新变得容易。有关标记为何重要的更多信息。怎么样？先决条件地形0.11、0.12、0.13或0.14 用法从自制软件安装： ➜ brew install env0/terratag/terratag 或下载最新。初始化Terraform模块以获取提供程序架构并提取子模块： terraform init 运行Terratag terratag -dir=foo

AWS EC2定时开关机（lambda+cloudwatch实现）

最新发布

m0_61418822的博客

02-15

2516

在使用AWS云平台的过程中，不免会使用到EC2实例的按需收费模式用于部署测试和开发环境等无需24小时运行的情况。这时为了更加经济，希望每天可以设置EC2只在白天运行，晚上则关机减少费用。在这里我们以设置EC2实例在每周一至周五的9:00-20:00运行，其余时间关机。即需要实现每天的20：00关闭实例，早上9：00开启实例。

AWS系列：深入了解IAM和访问控制

whatnamecaniuse的专栏

09-26

9245

写在前面：访问控制，换句话说，谁能在什么情况下访问哪些资源或者操作，是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者，AWS自然也在访问控制上下了很大的力气，一步步完善，才有了今日的IAM：Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务，在安全上的纰漏尽可能地少，那么，首先需要先深入了解 IAM。基本概念按照

aws ec2时间_十分钟掌握AWS定时开关机，你Get到了吗？

weixin_39840635的博客

12-23

1921

实现基于AWS EC2定时开关机的方式多种多样，为了方便大家快速入手，本文章会详细介绍如何通过Cloudwatch Event + AWS Lambda 实现AWS EC2定时开关机。AWS Cloudwatch Event：设置定时任务，触发器的角色AWS Lambda ：基于Python实现AWS EC2开关机一、场景描述很多时候，对于测试和开发实例，为了节省花费，我们通常会选择...

如何用好AWS上的每一分钱

aws0to1的博客

07-30

2021

严格控制能开启新资源的权限不是所有AWS使用者都有如经营者一般的成本意识，他们可能开启了一个高配置服务后，就放置不管了。而大部分的AWS服务又是按时间进行收费。在无形中，会导致公司资源的浪费。当权限控制在某一个或几个有成本意识的人的手中，就能尽量避免资源的浪费。同时在开启资源前，也会经过他们的评估，启动与需求最适配的实例类型。给资源添加TAG来区分类别大部分的AWS都

定时关闭和启动ec2实例的7种方法

hackstoic的博客

08-21

7553

方法一：使用aws lambda ＋ cloudwatch服务使用aws lambda, 将trigger／event source设置为CloudWatch Events - Schedule ，再把启动或者关闭服务的函数放到handler里，这样的话就可以定时触发instance的启动和关闭了，另外在cloudwatch可以看到详细日志流和调用成功率和延时的dashboard，方便调试排障

AWS 使用tag进行精细权限控制

weixin_33696106的博客

07-12

1549

AWS一个账号下面可以通过IAM创建多个用户，但默认情况下，资源是没有用户属性的，一个账号下的资源，只要用户有这种资源的操作权限，那么不过是你自己创建的还是其他用户创建的，你都可以操作。但在客户的实际使用场景中，有时需要隔离各用户之间的资源。按照AWS的建议，那你需要创建不同的账号，比如你有开发测试资源环境，还有生产资源环境，那么你需要创建两个账号，但创建两个账号，在查询费用...

AWS实战 - EC2权限控制的简单总结

weixin_33912445的博客

12-19

2409

介绍简单总结EC2的文档发现，对AWS EC2的权限进行控制，包含三层意思：第一是对使用EC2及EC2相关的AWS服务的权限控制，比如创建、运行EC2或者使用EC2相关的AMI，创建VPC等相关操作的权限控制；第二是EC2实例中运行的应用程序访问AWS资源的权限控制，比如授予EC2中的应用程序相应权限以访问S3资源；第三是EC2中的操作...

批量添加删除EC2资源的TAG

aws0to1的博客

08-12

2052

偶尔会同时生成大批量的实例，但是又忘了给他们在创建时打上标签或者在使用过程中，需要批量增加、修改实例的已有标签。 AWS提供了一个资源编辑器来帮助批量添加删除TAG的功能在EC2的控制台点击“标签” 可以看到管理界面，上半部是搜索出来的资源列表，下半部是操作界面。在筛选条件部分，可以对多种资源进行过滤，或者换句话说，可以对这些资源打TAG

使用存储桶策略限制AWS S3访问权限到IAM角色

"本文主要介绍了如何使用亚马逊AWS S3存储桶策略将访问权限限制到特定的IAM角色，以便实现精细的权限控制。解决方案的核心在于通过结合IAM策略和S3存储桶策略，使得即使拥有完整S3 API访问权限的实体也只能访问被...