J'ai essayé de limit access to a VPC sans succès. Peut-être que le fait d'aborder la question de l'autre côté est une meilleure idée, mais je ne peux pas non plus que cela fonctionne.AWS IAM accorder à l'utilisateur un accès en lecture à une connexion VPC spécifique uniquement
J'ai essayé:
Limite par des balises comme indiqué here:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/client": "<client>"
}
}
}
]
}
Limiter par VPC comme suggéré here:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1508450090000",
"Effect": "Allow",
"Action": [
"ec2:Describe*"
],
"Resource": [
"arn:aws:ec2:<region>:<account>:subnet/*"
],
"Condition": {
"StringEquals": {
"ec2:Vpc": "arn:aws:ec2:<region>:<account>:vpc/<vpc_id>"
}
}
}
]
}
Les deux politiques entraînent même pas répertorier les instances, voir capture d'écran.
Cela semble être une politique très évidente et communément nécessaire pour moi. Toute aide est appréciée.
Voir https://aws.amazon.com/premiumsupport/knowledge-center/iam-policy-restrict-vpc/. – jarmod
@jarmod Est-ce que je comprends bien que les actions 'ec2: Describe *' ne peuvent pas être limitées/limitées de quelque façon que ce soit, étant donné qu'elles ne reposent pas sur des ressources? – kev
Croyez que c'est correct. Pour une liste définitive des actions qui prennent en charge les autorisations au niveau des ressources, voir http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html. AWS n'est pas organisé d'une manière qui vous permet de faire ce que vous voulez car sa séparation est vraiment au niveau du compte, pas au niveau VPC. Personnellement, j'aimerais voir AWS introduire de nouveaux conteneurs hiérarchiques pour les ressources afin que les informations d'identification IAM puissent être étendues à vpc, project, folder, account ou organisation. – jarmod