AWS: Как защитить администратор VPC от одного пользователя IAM

Question

Я создал VPC с минимальным объемом информации: имя VPC, блок CIDR и тип аренды по умолчанию. Затем я создал политику администрирования VPC и добавил ее к вновь созданному пользователю. Мой план состоял в том, чтобы затем войти в систему как этот пользователь и завершить настройку VPC, включая подсети, экземпляры EC2, RDS, маршрутизацию и т. Д.

Проблема в том, что при входе в систему пользователь не имеет полномочий вообще. Они не авторизованы для любых услуг EC2 или VPC. Я даже не вижу VPC, который я создал. Предположительно, что-то не так с моей политикой. Вот оно:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": "*", 
      "Resource": "arn:aws:ec2:ap-southeast-2:999999999999:vpc/vpc-99999999" 
     } 
    ] 
} 

(Очевидно, что это не реальный номер счета или VPC ID.)

ли мне просто нужно дополнительное разрешение на IAM службы? Если так, то, что это? Или это сложнее?

Answer 1

Непонятно, какие разрешения вы точно желаете предоставить. Однако следующее даст вам большой доступ, локализованный для конкретного VPC, который вы хотите администрировать.

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Effect": "Allow", 
      "Action": "*", 
      "Resource": "*", 
      "Condition": { 
       "StringEquals": { 
        "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d" 
       } 
      } 
     } 
    ] 
} 

(Обновить область, учетная запись, и идентификатор VPC в приведенном выше)