Amazon EC2 Политика IAM: ограничение на изменение одной группы безопасности

Question

Я пытаюсь создать политику IAM в Amazon AWS, которая позволит получить доступ для просмотра или редактирования/изменения одной группы безопасности. Я следил за документацией AWS, но безуспешно могу сделать эту политику. Политика создала ниже:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Stmt123456789123", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:DescribeSecurityGroups", 
       "ec2:*" 
      ], 
      "Resource": [ 
       "arn:aws:ec2:us-east-1:000000000000:security-group/sg-a123a1a1" 
      ] 
     } 
    ] 
} 

Да, я понимаю, что у меня есть избыточные действия, но я заметил, что вы можете указать Охарактеризуйте группы безопасности, но не вариант для Modify; поэтому «*» был моим единственным вариантом; К счастью, ресурс должен позволить мне ограничить это действие одной группой безопасности.

Answer 1

Вы можете добавить новое правило группы безопасности, как

aws ec2 authorize-security-group-ingress --group-name MySecurityGroup --protocol tcp --port 3389 --cidr 203.0.113.0/24 

А также изменить теги, а также.

Answer 2

К сожалению, это невозможно. В настоящее время вы не можете назначить определенное разрешение на уровне конкретных ресурсов.

Поддерживаемые разрешения Ресурсосберегающие Уровень: http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ec2-supported-iam-actions-resources.html

Answer 3

Это частично возможно, пожалуйста, см https://serverfault.com/questions/575487/use-iam-to-allow-user-to-edit-aws-ec2-security-groups, это на самом деле можно ограничить редактирование только одна группа, но я не получил список только одной группы к работе:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Stmt1413232782000", 
      "Effect": "Allow", 
      "Action": [    
       "ec2:DescribeInstanceAttribute", 
       "ec2:DescribeInstanceStatus", 
       "ec2:DescribeInstances", 
       "ec2:DescribeNetworkAcls", 
       "ec2:DescribeSecurityGroups"    
      ], 
      "Resource": [ 
       "*" 
      ] 
     }, 
     { 
      "Sid": "Stmt1413232782001", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:AuthorizeSecurityGroupEgress", 
       "ec2:AuthorizeSecurityGroupIngress",     
       "ec2:RevokeSecurityGroupEgress", 
       "ec2:RevokeSecurityGroupIngress" 
      ], 
      "Resource": [ 
       "arn:aws:ec2:us-east-1:<accountid>:security-group/sg-<id>" 
      ] 
     } 
    ] 
}