(相关资料图)

如果在aws中，如果需要赋予用户/组，或者是role权限，让其拥有对EC2实例进行开机、关机、重启的操作

一般来说是需要如下几条权限的，重启，开机和关机

但是这样，我们可能有时还会遇到一个问题，就是有的EC2的系统EBS卷使用了KMS加密，这时在开机时还是会遇到KMS相关的权限问题

当然，用户或角色的停止实例操作并不需要kms权限，主要是在开机会遇到KMS权限的问题，可能无法正常开机

这时，我们就还得补充一下，开机EC2，需要的最少的KMS权限，权限汇总如下：

{            "Sid": "StartStopRebootInstanceKMS",            "Effect": "Allow",            "Action": [                "ec2:RebootInstances",                "ec2:StartInstances",                "ec2:StopInstances",                "kms:Decrypt",                "kms:CreateGrant"            ],            "Resource": [                "*"            ]        }

说明：其中"kms:Decrypt",代表解密的操作，关于kms:CreateGrant，含义是授权aws主体使用该kms密钥

用户或角色启动实例时，ec2需要对根卷的ebs数据解密从而获取实例的引导数据，因此需要授权ec2使用kms密钥的权限

尊重别人的劳动成果 转载请务必注明出处：https://www.cnblogs.com/5201351/p/17272376.html

标签：