EC2: iniciar ou interromper instâncias baseadas em etiquetas - AWS Identity and Access Management

EC2: iniciar ou interromper instâncias baseadas em etiquetas

Este exemplo mostra como você pode criar uma política baseada em identidade que permita iniciar ou interromper instâncias com o par de chave-valor da etiqueta Project = DataAnalytics, mas apenas por entidades de segurança com o par de chave-valor da etiqueta Department = Data. Esta política concede as permissões necessárias para concluir esta ação na API ou AWS CLI da AWS de maneira programática. Para usar esta política, substitua o texto do espaço reservado em itálico na política de exemplo por suas próprias informações. Em seguida, siga as instruções em criar uma política ou editar uma política.

A condição na política retorna verdadeiro se ambas as partes da condição forem verdadeiras. A instância deve ter a tag Project=DataAnalytics. Além disso, a entidade de segurança (usuário ou função) do IAM que faz a solicitação deve ter a etiqueta Department=Data.

nota

Como prática recomendada, anexe políticas com a chave de condição aws:PrincipalTag aos grupos do IAM, para o caso de alguns usuários possuírem a etiqueta especificada e outros não. 

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "StartStopIfTags",
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/Project": "DataAnalytics",
                    "aws:PrincipalTag/Department": "Data"
                }
            }
        }
    ]
}