Я пытаюсь предоставить группе IAM возможность редактировать наши группы безопасности EC2, но я не смог заставить это работать без предоставления доступа ко всему в EC2.
Я пробовал несколько версий этого:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1392336685000",
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": [
"arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:security-group/*"
]
}
]
}
Но когда я вхожу в систему с пользователем IAM, на странице группы безопасности появляется сообщение «У вас нет прав для выполнения этой операции».
Я знаю, что пользователь / группа работает, потому что, если я выберу шаблон политики IAM для «Полный доступ к Amazon EC2», пользователь сможет получить доступ ко всему в EC2.
У меня, очевидно, нет большого опыта работы с IAM, любая помощь будет принята с благодарностью.
Если вы хотите ограничить редактирование одной группой безопасности, я думаю, что вам нужно 2 утверждения, для меня сработало следующее:
DescribeInstance может и не понадобиться, но в моем случае я этого хотел, поэтому не тестировал без него
источник
"ec2:DescribeNetworkAcls", "ec2:DescribeSecurityGroups"
Похоже, что ваша группа безопасности, возможно, используется экземпляром или другим ресурсом EC2. Ты можешь попробовать:
источник
Я искал ответ на вопрос, который @ nsij22 задавал в комментариях к принятому ответу. К сожалению, похоже, что это невозможно. Согласно IAM Policy Simulator , только следующие действия из ответа @ DevMan14 могут быть использованы с конкретными ресурсами:
Для всего остального, IAM Policy Simulator говорит:
Это выглядит так:
,
Все «разрешено» и «отказано» одинаковы, поэтому я их свернул.
источник