如何防止IAM用户在运行实例时覆盖启动模板参数

问题描述

在 AWS 中，用户希望设置一个 IAM 策略，允许用户运行实例 (ec2:RunInstances)，但只允许使用特定的启动模板，并且不允许对启动模板的参数进行任何更改。用户已经尝试了一些方法，但是遇到了问题。以下是用户的问题描述和尝试：

用户的 IAM 策略片段如下：

{
  "Effect": "Allow",
  "Action": "ec2:RunInstances",
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "ec2:LaunchTemplate": "arn:aws:ec2:ap-southeast-2:xxxxxxx:launch-template/lt-xxxxxxx"
    }
  }
}

用户尝试过使用 ec2:IsLaunchTemplateResource 条件来限制启动模板的资源，但出现了问题：

{
  "Condition": {
    "ArnLike": {
      "ec2:LaunchTemplate": "arn:aws:ec2:ap-southeast-2:xxxxxxx:launch-template/lt-xxxxxxx"
    },
    "Bool": {
      "ec2:IsLaunchTemplateResource": "true"
    }
  }
}

用户还尝试了使用特定的实例类型，但也遇到了问题：

{
  "Condition": {
    "ArnLike": {
      "ec2:LaunchTemplate": "arn:aws:ec2:ap-southeast-2:xxxxxxx:launch-template/lt-xxxxxxx"
    },
    "Bool": {
      "ec2:IsLaunchTemplateResource": "true"
    },
    "StringNotLikeIfExists": {
      "ec2:InstanceType": [
        "c5.*xlarge",
        "p3.*xlarge"
      ]
    }
  }
}

用户怀疑自己是否存在误解，或者有其他方式可以实现所需的策略限制。

解决方案

方案1：使用 CloudFormation 模板

一个较好的解决方案是使用 CloudFormation 模板来管理启动模板参数。通过在 CloudFormation 模板中定义启动模板，并将其参数定义为模板参数，您可以集中管理模板参数，并在 IAM 策略中使用 CloudFormation 提供的条件函数来进行访问控制。

以下是一个示例 CloudFormation 模板片段，用于定义启动模板和参数：

AWSTemplateFormatVersion: '2010-09-09'
Resources:
  MyLaunchTemplate:
    Type: 'AWS::EC2::LaunchTemplate'
    Properties:
      LaunchTemplateName: MyLaunchTemplate
      LaunchTemplateData:
        InstanceType: !Ref InstanceTypeParameter
        # 其他启动模板参数...
Parameters:
  InstanceTypeParameter:
    Type: String
    Default: t2.nano
    Description: Instance type for the launch template

然后，您可以使用 CloudFormation 提供的条件函数来定义 IAM 策略，以确保用户在运行实例时不会更改模板参数：

{
  "Effect": "Allow",
  "Action": "ec2:RunInstances",
  "Resource": "*",
  "Condition": {
    "StringEquals": {
      "cloudformation:TemplateParameter/InstanceTypeParameter": "t2.nano"
    }
  }
}

方案2：限制启动模板权限

AWS 文档中提到，ec2:IsLaunchTemplateResource 条件只适用于启动模板的资源，而不适用于实例类型。要实现限制启动模板实例类型的目标，您可以将实例类型设置为启动模板的一部分，并在 IAM 策略中限制用户的权限。

以下是示例 IAM 策略片段，用于限制用户在运行实例时的实例类型：

{
  "Effect": "Allow",
  "Action": "ec2:RunInstances",
  "Resource": "*",
  "Condition": {
    "ArnLike": {
      "ec2:LaunchTemplate": "arn:aws:ec2:ap-southeast-2:xxxxxxx:launch-template/lt-xxxxxxx"
    },
    "StringEquals": {
      "ec2:InstanceType": "t2.nano"
    }
  }
}

请注意，您需要根据您的需求调整启动模板和 IAM 策略的配置。这两种方法都可以实现限制用户在运行实例时不更改特定参数的目标。使用 CloudFormation 模板可能会更加灵活和可维护，但也需要一些额外的设置。

请确保在实际应用中进行测试，并根据实际情况进行调整和优化。

总结

在 AWS 中，要限制 IAM 用户在运行实例时不更改特定参数，您可以使用 CloudFormation 模板集中管理参数，然后使用 CloudFormation 提供的条件函数来限制访问。另一种方法是将要限制的参数（例如实例类型）设置为启动模板的一部分，并在 IAM 策略中限制用户的权限。这些方法可以帮助您实现所需的访问控制和限制。