如何限制新啟動的EC2 機器等級,以免不慎使用到太貴的機器

前幾天把 AWS 這最近幾年re:Invent的影片列表整理出來以後, 最近有空就找一些有興趣的題目來看. 今天發現一個題目講得不錯, 開場之後就丟出一個有趣的問題:

有AWS客戶開了support ticket問, 客戶想讓自家的工程師可以開 EC2 ,但是成本考量,希望不要開太大的機器,限制在t1,t2,m3 這三個中小型系列的機器就好. 該如何處理?

這個題目實戰性質還蠻高的, 可能許多人都會用到, 所以要記錄一下, 答案就是用自定的IAM policy來處理. 以下是操作步驟:

創建自訂的 IAM Policy

  • AWS Console - IAM - 左邊 Policy - Create Policy
  • 選 Create Your Own Policy
  • Policy Name 取個名字,例如 Deny_InstanceType_NotLike_t1_t2_m3
  • 把以下Policy貼到 Policy Document
  • 把Policy 裡面的 <你的12位數字account …
more ...