Amazon-Ec2

使用 IAM 允許使用者編輯 AWS / EC2 安全組?

  • July 8, 2021

我正在嘗試授予 IAM 組編輯我們的 EC2 安全組的能力,但是如果不授予對 EC2 中所有內容的訪問權限,我就無法使其正常工作。

我已經嘗試了幾個版本:

{
 "Version": "2012-10-17",
 "Statement": [
   {
     "Sid": "Stmt1392336685000",
     "Effect": "Allow",
     "Action": [
       "ec2:*"
     ],
     "Resource": [
       "arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:security-group/*"
     ]
   }
 ]
}

但是當我使用 IAM 使用者登錄時,我在安全組頁面中收到一條消息,上面寫著“您無權執行此操作”。

我確實知道使用者/組正在工作,因為如果我為“Amazon EC2 完全訪問”選擇 IAM 策略模板,則使用者可以訪問 EC2 中的所有內容。

我顯然對 IAM 沒有太多經驗,任何幫助將不勝感激。

為此,您需要明確允許以下內容:

{
 "Version": "2012-10-17",
 "Statement": [
   {
     "Sid": "Stmt1392679134000",
     "Effect": "Allow",
     "Action": [
       "ec2:AuthorizeSecurityGroupEgress",
       "ec2:AuthorizeSecurityGroupIngress",
       "ec2:CreateSecurityGroup",
       "ec2:DeleteSecurityGroup",
       "ec2:DescribeInstanceAttribute",
       "ec2:DescribeInstanceStatus",
       "ec2:DescribeInstances",
       "ec2:DescribeNetworkAcls",
       "ec2:DescribeSecurityGroups",
       "ec2:RevokeSecurityGroupEgress",
       "ec2:RevokeSecurityGroupIngress"
     ],
     "Resource": [
       "*"
     ]
   }
 ]
}

上面的 JSON 策略基本上規定了使用者只能訪問上面的內容。他們將無法訪問其他任何內容。這包括 ec2 實例、S3、IAM、cloudfront 等。

引用自:https://serverfault.com/questions/575487