如何使用CLI启动AWS用户不超过一个实例？

Question

我有一项策略允许用户在 AWS 账户中启动 EC2 实例，但我想限制用户只能使用一个实例？

在以下命令中，我使用 --count 关键字，但用户可以将其修改为任意数字。

aws ec2 运行实例 --image-id ami-00ee4df451840fa9d --count 1 --instance-type t2.micro --security-group-ids xxxxxxxxxxxx --key-name xxxxxxxxx --subnet-id xxxxxxxxx --profile userX --region us-west-2

有没有办法限制用户运行只有一个实例？

谢谢

Answer 1

不可能使用IAM策略来限制IAM用户可以启动的Amazon EC2实例数量。

IAM策略确定是否允许用户提出API请求（例如RunInstances（）），但无法查看现有资源来做出该决定。

在首先检查不存在现有实例之后，您将需要创建一个“服务”，该“服务”将代表用户启动实例。例如，这可能是您编写的Web应用程序，该应用程序可以验证条件，然后代表用户启动实例。

另外，请注意，Amazon EC2实例与“用户”无关 - 它们与AWS帐户相关联。因此，您还需要一种将现有实例与IAM用户相关联的方法，例如添加标签来识别请求该实例的用户。 （确保用户无权修改此标签！）