ファイアウォールルールの編集を許可するためにAWSIAMに不足している権限がわかりません

エイドリアン

ポリシーを作成しようとしていますが、どのバリエーションを試しても機能しません。

ユーザーがセキュリティグループのインバウンド/アウトバウンドルールを編集できるようにしたいだけです。私は結局、原因としてそれを除外するためだけにリソースを指定しようとすることをあきらめました。

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor0",
        "Effect": "Allow",
        "Action": [
            "ec2:RevokeSecurityGroupIngress",
            "ec2:AuthorizeSecurityGroupEgress",
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
            "ec2:CreateSecurityGroup",
            "ec2:RevokeSecurityGroupEgress",
            "ec2:DeleteSecurityGroup",
            "ec2:UpdateSecurityGroupRuleDescriptionsIngress"
        ],
        "Resource": "*"
    },
    {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeInstances",
            "ec2:DescribeNetworkAcls",
            "ec2:DescribeSecurityGroups"
        ],
        "Resource": "*"
    }
]
}

これがユーザーに表示されているものです

ユーザーがポリシーに正しく追加されていることを確認できます。テストとして、文字通りすべてのアクセス許可をユーザーに付与し、正常に機能し、インバウンドルールを示したためです。

AWSのドキュメントを試したところ、一部のパーミッションが存在しないと言われています：https：//docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html

"ec2:DescribeSecurityGroupsRules" 正確には

John Rotenstein

その表示されますDescribeSecurityGroupRules前に、あなたがこの質問を書くことに2日追加されました！

参照：新しいセキュリティグループルールIDを使用してセキュリティグループルールを簡単に管理する| AWSニュースブログ

これは、既存のドキュメントがこれらのアクセス許可を参照していない理由を説明します。

したがって、との権限を追加することをお勧めec2:DescribeSecurityGroupRulesしec2:ModifySecurityGroupRulesます。

コンソールによって行われているすべてのAPI呼び出しを知ることは容易ではないため、コンソールの権限を正しく取得することは常に注意が必要です。この場合、コンソールに必要な権限が記載されているのは幸運です。AWS CloudTrailログを調べることで、行われているAPI呼び出しを発見できる場合があります。

この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。

侵害の場合は、連絡してください[email protected]