ポリシーを作成しようとしていますが、どのバリエーションを試しても機能しません。
ユーザーがセキュリティグループのインバウンド/アウトバウンドルールを編集できるようにしたいだけです。私は結局、原因としてそれを除外するためだけにリソースを指定しようとすることをあきらめました。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeNetworkAcls",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
ユーザーがポリシーに正しく追加されていることを確認できます。テストとして、文字通りすべてのアクセス許可をユーザーに付与し、正常に機能し、インバウンドルールを示したためです。
AWSのドキュメントを試したところ、一部のパーミッションが存在しないと言われています:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
"ec2:DescribeSecurityGroupsRules"
正確には
その表示されますDescribeSecurityGroupRules
前に、あなたがこの質問を書くことに2日追加されました!
参照:新しいセキュリティグループルールIDを使用してセキュリティグループルールを簡単に管理する| AWSニュースブログ
これは、既存のドキュメントがこれらのアクセス許可を参照していない理由を説明します。
したがって、との権限を追加することをお勧めec2:DescribeSecurityGroupRules
しec2:ModifySecurityGroupRules
ます。
コンソールによって行われているすべてのAPI呼び出しを知ることは容易ではないため、コンソールの権限を正しく取得することは常に注意が必要です。この場合、コンソールに必要な権限が記載されているのは幸運です。AWS CloudTrailログを調べることで、行われているAPI呼び出しを発見できる場合があります。
この記事はインターネットから収集されたものであり、転載の際にはソースを示してください。
侵害の場合は、連絡してください[email protected]
コメントを追加