1. Accueil
  2. Question et réponse
  3. Quelle est la stratégie IAM correcte pour permettre aux utilisateurs d'ajouter des règles d'entrée/sortie dans un groupe de sécurité VPC?

Quelle est la stratégie IAM correcte pour permettre aux utilisateurs d'ajouter des règles d'entrée/sortie dans un groupe de sécurité VPC?

2014-04-22 5 views
1

J'ai essayé, mais cela échoue sur IAM Policy Simulator.
Vous avez obtenu cette règle à partir des documents AWS.Quelle est la stratégie IAM correcte pour permettre aux utilisateurs d'ajouter des règles d'entrée/sortie dans un groupe de sécurité VPC?

{ 
"Version": "2012-10-17", 
    "Statement":[{ 
    "Effect":"Allow", 
    "Action": [ 
     "ec2:AuthorizeSecurityGroupIngress", 
     "ec2:AuthorizeSecurityGroupEgress", 
     "ec2:RevokeSecurityGroupIngress", 
     "ec2:RevokeSecurityGroupEgress"], 
    "Resource": "arn:aws:ec2:us-east-1:Account-Number:security-group/*", 
     "Condition": { 
     "StringEquals": { 
      "ec2:Vpc": "arn:aws:ec2:us-east-1:Account-Number:vpc/vpc-id" 
     } 
     } 
    }, 
    { 
     "Effect": "Allow", 
     "Action": "ec2:DescribeSecurityGroups", 
     "Resource": "*" 
    } 
    ] 
}

Source

2014-04-22 mcdl

Répondre

0

Je l'ai testé avec succès le IAM policy référencé via le IAM Policy Simulator - le simulateur de politique peut être très pointilleux/délicat si et il m'a fallu quelques tentatives pour y arriver aussi bien, voici ce qu'il faut pour:

  1. Il est évident que vous devez remplacer compte Numéro et vpc-id dans la politique avec les valeurs réelles de votre compte AWS - probablement vous avez déjà.
  2. Depuis que vous avez créé une politique pour une spécifique des ressourcesarn:aws:ec2:us-east-1:Account-Number:security-group/*, vous devez vous assurer d'entrer également la Amazon Resource Name (ARN) identique à la valeur de Resource dans les paramètres de simulation .
  3. De même, puisque vous avez créé une politique avec un Condition, le simulateur spécifique demande d'entrer une valeur de la clé de l'état ec2:Vpc dans les Paramètres de simulation - vous devez vous assurer d'entrer dans un ARN complet que la valeur ici plutôt que juste l'id VPC lui-même, à savoir quelque chose comme arn:aws:ec2:us-east-1:Account-Number:vpc/vpc-12345678 plutôt que seulement vpc-12345678!

Source

2014-04-23 00:38:15

0

Merci pour votre réponse. Je suppose que je faisais quelque chose de mal sur le simulateur parce que j'ai exécuté une commande sur la CLI et cela a fonctionné comme prévu pour cette politique. J'ai essayé de mettre à jour cette question mais depuis que je suis nouveau sur ce forum je dois attendre 8 heures pour répondre à mes propres questions.

Source

2014-04-24 19:06:52 mcdl

Questions connexes

 Questions connexes