如果在aws中,如果需要赋予用户/组,或者是role权限,让其拥有对EC2实例进行开机、关机、重启的操作
一般来说是需要如下几条权限的,重启,开机和关机
但是这样,我们可能有时还会遇到一个问题,就是有的EC2的系统EBS卷使用了KMS加密,这时在开机时还是会遇到KMS相关的权限问题
当然,用户或角色的停止实例操作并不需要kms权限,主要是在开机会遇到KMS权限的问题,可能无法正常开机
这时,我们就还得补充一下,开机EC2,需要的最少的KMS权限,权限汇总如下:
{ "Sid": "StartStopRebootInstanceKMS", "Effect": "Allow", "Action": [ "ec2:RebootInstances", "ec2:StartInstances", "ec2:StopInstances", "kms:Decrypt", "kms:CreateGrant" ], "Resource": [ "*" ] }
说明:其中"kms:Decrypt",代表解密的操作,关于kms:CreateGrant,含义是授权aws主体使用该kms密钥
用户或角色启动实例时,ec2需要对根卷的ebs数据解密从而获取实例的引导数据,因此需要授权ec2使用kms密钥的权限
尊重别人的劳动成果 转载请务必注明出处:https://www.cnblogs.com/5201351/p/17272376.html
标签:instance,kms,EC2,Policies,开机,KMS,权限,ec2 From: https://www.cnblogs.com/5201351/p/17272376.html