Giới hạn sử dụng EC2 theo Instance type

Giới hạn sử dụng EC2 theo Instance Type

create vpc for linux instance

  • Giả sử, sau một thời gian monitoring EC2 cho môi trường dev/test - được phép khởi tạo các Instance Family: T3, T4g, M5! Bạn thấy rằng, team dev thường xuyên sử dụng Instance Family là T3 với Instance Type là t3.small và t3.large.

  • Sau khi hội ý với Tech lead, với tinh thần cost optimization bằng least-privilege permissions, bạn tiếp tục tạo ra một Permissions policies mới cho môi trường dev/test, tránh các lỗi human-error trong việc tạo ra các instance có cấu hình như m5.4xlarge(16 vCPU, 64 GiB ram) mà có thể không dùng hết hiệu năng - gây lãng phí.

  1. Tạo IAM Policy chỉ cho phép user khởi tạo EC2 với instance type: t3.small và t3.large

    • Trong AWS console, tại khung search, nhập IAM
    • Chọn dịch vụ IAM

    create vpc for linux instance

    • Tại bên trái màn hình, chọn Policies
    • Chọn Create policy

    create vpc for linux instance

    • Tạo policy theo kiểu định dạng dữ liệu JSON thay vì Visual. Chọn JSON

    create vpc for linux instance

    • Quét toàn bộ đoạn code hiện tại và bấm nút Delete

    create vpc for linux instance

    • Sao chép đoạn code sau vào khung Policy editor, cuộn xuống dưới và chọn Next.
      • Với ý nghĩa: User có quyền tạo EC2 với instance type: t3.small và t3.large
    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        },
        {
            "Effect": "Deny",
            "Action": "ec2:RunInstances",
            "Resource": "arn:aws:ec2:*:148922931563:instance/*",
            "Condition": {
                "StringNotLike": {
                    "ec2:InstanceType": [
                        "t3.small",
                        "t3.large"
                    ]
                }
            }
        }
    ]
}
    • Noted: ở dòng Resource, thay thế dãy 12 con số bằng AWS account ID của bạn. Chọn ký hiệu tam giác, sau đó chọn ký hiệu ô vuông để copy AWS account ID

    create vpc for linux instance

    create vpc for linux instance

    • Tại mục Policy name, nhập: EC2_InstanceTypeRestrict
    • Tại mục Description, nhập: Restrict to all, except t3.small & t3.large
    • Cuộn xuống cuối trang và chọn Create policy

    create vpc for linux instance

  2. Thêm policy EC2_InstanceTypeRestrict vào group CostTest

    • Tại IAM Console, mục bên trái - chọn User groups
    • Chọn CostTest

    create vpc for linux instance

    • Chọn Permissions

    create vpc for linux instance

    • Chọn Add permissions, chọn Attach policies

    create vpc for linux instance

    • Tại khung search 🔍, nhập EC2_InstanceTypeRestrict.
    • Tích vào ký hiệu ô vuông để chọn policy, chọn Attach policies

    create vpc for linux instance

    • Kiểm tra Permissions policies
      • Lúc này trong group CostTest đã có policy EC2_InstanceTypeRestrict và policy EC2_FamilyRestrict mà bạn đã tạo ở bài lab 8.2

    create vpc for linux instance

    • Loại bỏ policy EC2_FamilyRestrict vì tiêu chí least-privilege permissions
      • Tích vào ký hiệu ô vuông để chọn policy, chọn Remove

    create vpc for linux instance

    • Kiểm tra policy của User

      • Chọn Users
      • Chọn TestUser

      create vpc for linux instance

      • Lúc này, tại IAM User: TestUser, trong mục Policy Name bạn thấy có sự xuất hiện của policy EC2_InstanceTypeRestrict

      • Tại mục Attached via - Group CostTest, có nghĩa là các policy này được gán vào User thông qua group, chứ không phải được gán trực tiếp vào User.

      • -> Điều này thỏa Best pratice của AWS về việc quản lý quyền tập trung thông qua Group

        create vpc for linux instance

  3. Kiểm tra Permissions policies cho Instance Type: t3.small

    • Đăng nhập vào TestUser bằng thông tin mà bạn đã tạo ở bài lab 8.1, bước 4
    • Đảm bảo, bạn đang ở Region Singapore
    • Tại khung search 🔍, nhập EC2

    create vpc for linux instance

    • Tại giao diện EC2, giữa trang, chọn Launch instance

    create vpc for linux instance

    • Tại mục Name, nhập EC2_InstanceTypeRestrict

    • Tại mục Architecture, giữ nguyên giá trị 64-bit (x86)

    create vpc for linux instance

    • Tại mục Instance type, chọn ký hiệu tam giác, nhập t3.small

    create vpc for linux instance

    • Tại mục key pair name, chọn ký hiệu tam giác, chọn Proceed without a key pair (Not recommended)
    • Chọn Launch instance

    create vpc for linux instance

    • Chọn Instance ID vừa được tạo thành công

    create vpc for linux instance

    • Chúc mừng bạn đã tạo thành công EC2 với instance type là t3.small

    create vpc for linux instance

  4. Kiểm tra Permissions policies cho Instance type: m5.4xlarge

    • Chọn Launch instance

    create vpc for linux instance

    • Tại mục Name, nhập EC2_m5.4xlarge

    create vpc for linux instance

    • Tại mục Architecture, giữ nguyên giá trị 64-bit(x86)
    • Tại mục Instance type, chọn ký hiệu tam giác, chọn m5.4xlarge

    create vpc for linux instance

    • Tại mục key pair name, chọn ký hiệu tam giác, chọn Proceed without a key pair (Not recommended)
    • Chọn Launch instance

    create vpc for linux instance

    • Bạn đã nhận được phản hồi Instance launch failed (khởi tạo instance thất bại) - vì bạn không được ủy quyền. Điều này thỏa với permission policy: EC2_InstanceTypeRestrict mà bạn đã khởi tạo ở bước 3.

    create vpc for linux instance

  5. Bạn có thể tiến hành thực hiện lại bước 3, tạo EC2 với instance type t3.large để kiểm tra tính hiệu quả permission policy: EC2_InstanceTypeRestrict