为 Amazon EC2 资源授予所需的权限

默认情况下，用户、群组和角色无权创建或修改 Amazon EC2 资源，也无权使用 Amazon EC2 API 执行任务。要创建或修改 EC2 资源并执行任务，请参阅 Amazon EC2 用户指南中的 Amazon EC2 的身份和访问管理。

当您发出 API 请求时，您在请求中指定的参数决定您的 EC2 资源所需的权限。如果发出请求的用户、群组或角色没有所需的权限，则请求将失败。例如，RunInstances要使用在子网中启动实例（通过指定SubnetId参数），用户必须拥有使用 VPC 的权限。

Resource-level 权限是指能够指定允许用户对哪些资源执行操作。Amazon EC2 部分支持资源级权限。这意味着对于某些 Amazon EC2 操作，您可以控制何时允许用户执行操作 (基于必须满足的条件)或是允许用户使用的特定资源。例如，您可以为用户授予启动实例的权限，但是仅限特定类型的实例，并且只能使用特定的 AMI。

有关由 Amazon EC2 操作创建或修改的资源以及您可以在 IAM 策略声明中使用的 ARN 和 Amazon EC2 条件密钥的更多信息，请参阅《服务授权参考》中的 A mazon EC2 的操作、资源和条件密钥。

有关策略示例，请参阅《亚马逊 EC2 用户指南》中的 Amazon EC2 的 IAM 政策。