Question

1) 특정 사용자에 대해 특정 Ec2에 대해서만 권한을 주려고 하는데요

"Action": "ec2:Describe*",

            "Resource": "*"

    IAM 권한으로 설정이 가능한 방법이 있을까요?

Answer

1) 특정 IAM 사용자에 특정 인스턴스와 RDS 정보만 보이게 하고 싶습니다.

"Describe*"는 콘솔/CLI에서 인스턴스를 나열하는 역할이지만, 현재 AWS는 이 작업에 대해 

리소스 수준 권한을 지원하지 않아 모든 인스턴스가 사용자에게 표시됩니다.

[권고 사항]

리스트는 나열되지만 접근을 제한하는 방식으로 리소스를 관리하시기를 권고드립니다.

아래 예제 정책에서는 태그 값이 Bob인 소유자의 태그 키가 존재하는 미국 동부(버지니아 북부) [us-east-1] 리전에서 IAM 사용자 또는 그룹 액세스를 EC2 인스턴스의 시작/중지/재부팅 작업으로만 제한합니다. 

{

   "Version":"2012-10-17",

   "Statement":[

      {

         "Effect":"Allow",

         "Action":"ec2:Describe*",

         "Resource":"*"

      },

      {

         "Effect":"Allow",

         "Action":[

            "ec2:StartInstances",

            "ec2:StopInstances",

            "ec2:RebootInstances"

         ],

         "Resource":[

            "arn:aws:ec2:us-east-1:111122223333:instance/*"

         ],

         "Condition":{

            "StringEquals":{

               "ec2:ResourceTag/Owner":"Bob"

            }

         }

      }

   ]

}

▶ 참고 문서[1] : 읽기 전용 액세스