使用IAM策略变量和TAG来控制EC2开关机权限

最新推荐文章于 2020-12-23 01:07:41 发布
最新推荐文章于 2020-12-23 01:07:41 发布
阅读量1.9k 收藏
点赞数
分类专栏: AWS EC2 文章标签: AWS ec2 tag
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aws0to1/article/details/48267157
版权

为了让EC2使用者自主控制EC2实例的开关机实例,需要设置相应策略给每个用户。

使用策略变量可以尽最大程度复用策略内容。


策略变量

在编写策略时,可以包含变量。

系统在验证策略时,会把变量用实际值替换掉来验证。

例如

${aws:username}
会被当前用户的实际用户名所替代 

${aws:CurrentTime}
是当前时间 

${aws:SourceIp}
是访问者的IP地址。


EC2的TAG

我们可以给EC2打上各种TAG来标记它的属性或状态。

这里,我们需要给EC2打上一个名为Operator的TAG,值为可以操作它的IAM的username。

假设给某一台EC2给一个值为TEST1的TAG。表明TEST1用户可以对这台机器进行操作。


IAM组

我们创建一个IAM组,自定义策略为

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["ec2:DescribeInstances"],
            "Resource": [
最低0.47元/天 解锁文章
aws0to1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tungsten Fabric SDN — 基于 Tags 的安全访问控制策略
烟云的计算
12-09 1万+
目录 文章目录目录传统的安全访问控制策略基于 Tags(标签)的安全访问控制策略Application Tag 传统的安全访问控制策略 传统的的防火墙策略是针对单一 IP 地址,或 Subnet 进行配置的。在任何规模的数据中心中,都会导致防火墙规则的激增。并且这些规则在创建后难以管理,在故障排除时难以理解。这是因为 Host 或 VM 的 IP 地址与具体的 Application 并无关联。 如下图所示,假设我们预期通过安全访问控制规则的方式,只允许 Apache 可以访问 J2EE,且只允许 J2EE
AWS身份和访问管理模块新增标签和基于属性的访问控制能力
cpongo5
02-13 678
最近,Amazon Web Services(AWS)启用了IAM用户和角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(ABAC)能力,并将AWS资源与IAM主体动态匹配,以“简化大规模的权限管理”。最近,Amazon Web Services(AWS)启用了IAM用户和角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(...
亚马逊AWS学习——IAM中“AmazonEC2FullAccess”与“ AmazonEC2ReadOnlyAccess”两种访问策略的区别
干勾鱼的CSDN博客
08-05 3910
在亚马逊AWS中经常需要使用IAM服务,即“Identity and Access Management”。通过IAM可以很好的进行访问授权控制。尤其是创建了多个登录用户后,可以对这些用户的访问权限进行管理。
AWS系列:深入了解IAM和访问控制
whatnamecaniuse的专栏
09-26 9147
写在前面:访问控制,换句话说,谁能在什么情况下访问哪些资源或者操作,是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者,AWS自然也在访问控制上下了很大的力气,一步步完善,才有了今日的IAM:Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务,在安全上的纰漏尽可能地少,那么,首先需要先深入了解 IAM。 基本概念 按照
AWS 使用tag进行精细权限控制
weixin_33696106的博客
07-12 1498
AWS一个账号下面可以通过IAM创建多个用户,但默认情况下,资源是没有用户属性的,一个账号下的资源,只要用户有这种资源的操作权限,那么不过是你自己创建的还是其他用户创建的,你都可以操作。但在客户的实际使用场景中,有时需要隔离各用户之间的资源。按照AWS的建议,那你需要创建不同的账号,比如你有开发测试资源环境,还有生产资源环境,那么你需要创建两个账号,但创建两个账号,在查询费用...
iam-ssh:使用IAM用户通过SSH到AWS ec2实例
04-07
使用IAM管理AWS EC2 SSH访问 2019年6月:签出作为该项目的替代品 2018年9月:检出以替代该项目 使用IAM用户的公共SSH密钥通过SSH访问正在运行的EC2实例 亚马逊Linux 2017.09 亚马逊Linux 2 2017.12 Ubuntu 16.04 ...
aws-ec2-ssh:使用IAM管理AWS EC2 SSH访问
02-01
检出以替代该项目使用IAM用户的公共SSH密钥通过SSH访问正在运行的EC2实例亚马逊Linux 2017.09 亚马逊Linux 2 2017.12 Ubuntu 16.04 SUSE Linux Enterprise Server 12 SP3 RHEL 7.4 CentOS的7 如果您使用install.sh...
ec2-tags-env:将AWS EC2标记导入为环境变量
02-05
3. **安全控制**:结合AWS IAM(Identity and Access Management),可以通过实例的"Role"标签来限制实例的权限,确保安全策略得以实施。 4. **监控与报告**:使用"CostCenter"标签,可以追踪每个实例的费用归属,...
IAM_EC2_basics_EBS_EFS.pdf
12-20
备考Amazon认证解决方案助理架构师SAA-C02的时候看的Stephane Maarek的课件,感觉总结的很全面,针对考试很有帮助,分享给有需要的朋友。 Par1:IAM, EC2 basics, EBS, EFS
AWS-CLI:在Amazon Linux 2 EC2实例上配置AWS CLI(命令行界面)的步骤
03-09
AWS-CLI AWS CLI(命令行界面)“是管理您的AWS服务的统一工具。... 此外,为测试和学习目的,暂时允许在此示例中创建的EC2使用公共IP地址。 请确保通过设置适当的防火墙规则来确保对EC2的访问安全。1.启动Amaz
定时关闭和启动ec2实例的7种方法
hackstoic的博客
08-21 7426
方法一: 使用aws lambda + cloudwatch服务使用aws lambda, 将trigger/event source设置为CloudWatch Events - Schedule , 再把启动或者关闭服务的函数放到handler里, 这样的话就可以定时触发instance的启动和关闭了,另外在cloudwatch可以看到详细日志流和调用成功率和延时的dashboard,方便调试排障
aws简单开发之ec2定时开关机
hackstoic的博客
11-01 9222
环境:ubuntu14.04  boto3 python开发包 需求: awsec2实例是按需收费的, 是按需收费的,不用的时候不收费。 我用ec2主要是用来翻墙的。 所以对我来说一天有将近一半的时间ec2是闲置空转的状态。 而闲置的时候又要被aws计时收费。 所以我就想能不能通过aws提供的api, 来实现定时开关机,从而减少不必要的费用。   需求一
AWS实战 - EC2权限控制的简单总结
weixin_33912445的博客
12-19 2362
介绍 简单总结EC2的文档发现,对AWS EC2权限进行控制,包含三层意思:第一是对使用EC2EC2相关的AWS服务的权限控制,比如创建、运行EC2或者使用EC2相关的AMI,创建VPC等相关操作的权限控制;第二是EC2实例中运行的应用程序访问AWS资源的权限控制,比如授予EC2中的应用程序相应权限以访问S3资源;第三是EC2中的操作...
快照与AMI的区别
aws0to1的博客
08-22 9575
快照 把EBS上的数据拷贝到S3上进行保存的称为快照(Snapshot)。 在快照中并不包含用于管理实例的信息。 既可以使用快照生成一个EBS卷, 也可以使用快照生成AMI(http://docs.aws.amazon.com/zh_cn/AWSEC2/latest/UserGuide/instance-launch-snapshot.html) 从快照创建EBS卷
python实现自动开机_Lambda,AWS和Python的自动化管理操作 - 自动开机和关机
weixin_39580749的博客
12-16 244
Lambda,AWS和Python的自动化管理操作 - 自动开机和关机发布时间:2020-08-19 01:57:49来源:51CTO阅读:537栏目:云计算上一篇豆子已经配置在PyCharm里面添加了boto3和pyboto3,因此写脚本的时候可以直接在自己的PyCharm里面编写。下面是一个例子遍历所有的region查找EC2,如果状态是开机,那就关掉;或者倒过来也可以写成 如果是关机状态,就...
aws ec2时间_十分钟掌握AWS定时开关机,你Get到了吗?
weixin_39840635的博客
12-23 1875
实现基于AWS EC2定时开关机的方式多种多样,为了方便大家快速入手,本文章会详细介绍如何通过Cloudwatch Event + AWS Lambda 实现AWS EC2定时开关机AWS Cloudwatch Event:设置定时任务,触发器的角色AWS Lambda :基于Python实现AWS EC2开关机一、场景描述很多时候,对于测试和开发实例,为了节省花费,我们通常会选择...
PBAC基于策略权限控制
热门推荐
不求前途凶吉,但求落幕无悔!
08-22 1万+
PBAC思想 要解决的问题? 在pb实现一般管理系统的时候,我们会遇到这样一种情况,作为一个系统,可以分为若干个子系统,有多个操作员对它进行操作,每个操作员对各个子系统的权限不同,甚至在同一子系统中,操作员对各个菜单项的操作权限也不一样,更细一点,不同的操作员对于同一窗口中某一按钮的操作权限也是不一样的,那么,怎样较好地实现对不同用户细化到某个按钮的权限控制呢? 思路 1.举例 ...
Linux- AWSEC2大数据集群定时开关机
weixin_33868027的博客
01-26 374
  众所周知,云计算就是在计算你的钱,每当ec2开起来就要开始计费。当用户购买了一个庞大的与服务器做一个集群,尤其是用来做大数据集群,这些服务器的配置相当高,每台服务器所需要的费用不菲。其实在很多时候没能够完全利用起其全部的资源,尤其在空闲时间,在夜间没有作业的情况下,这些服务器完全处于空闲的状态,却时刻在计费,这是相当不划算的。于是有这样一个方案,我们是不是可以在机器处于空闲的状态时将他们关闭,...
写一个 IAM 策略仅允许启动和停止实例
最新发布
02-22
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] }

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值