我无法弄清楚我在 AWS IAM 中缺少什么权限来允许防火墙规则编辑
I cannot figure out what permission I am missing in AWS IAM to allow firewall rule editing
我正在尝试创建一个策略,但无论我尝试哪种变体,它都不起作用。
我只是想让用户能够编辑安全组中的 inbound/outbound 规则。我最终放弃了尝试指定一个资源只是为了排除这个原因。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeNetworkAcls",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
这是用户看到的内容
我可以确认用户已正确添加到策略中,因为作为测试,我实际上向用户授予了对所有内容的所有权限,并且它运行良好并显示了入站规则。
我什至尝试了 AWS 文档,它告诉我一些权限甚至不存在:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
"ec2:DescribeSecurityGroupsRules" 确切地说
看来 DescribeSecurityGroupRules 是在您写此问题前 2 天添加的!
参见:Easily Manage Security Group Rules with the New Security Group Rule ID | AWS News Blog
这可以解释为什么现有文档没有引用这些权限。
因此,我建议为 ec2:DescribeSecurityGroupRules 和 ec2:ModifySecurityGroupRules 添加权限。
获得控制台的正确权限总是很棘手,因为了解控制台发出的所有 API 调用并不容易。在这种情况下,我们很幸运,控制台提到了所需的权限!有时,您可以通过检查 AWS CloudTrail 日志发现 API 调用。
我正在尝试创建一个策略,但无论我尝试哪种变体,它都不起作用。
我只是想让用户能够编辑安全组中的 inbound/outbound 规则。我最终放弃了尝试指定一个资源只是为了排除这个原因。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeNetworkAcls",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
这是用户看到的内容
我可以确认用户已正确添加到策略中,因为作为测试,我实际上向用户授予了对所有内容的所有权限,并且它运行良好并显示了入站规则。
我什至尝试了 AWS 文档,它告诉我一些权限甚至不存在:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
"ec2:DescribeSecurityGroupsRules" 确切地说
看来 DescribeSecurityGroupRules 是在您写此问题前 2 天添加的!
参见:Easily Manage Security Group Rules with the New Security Group Rule ID | AWS News Blog
这可以解释为什么现有文档没有引用这些权限。
因此,我建议为 ec2:DescribeSecurityGroupRules 和 ec2:ModifySecurityGroupRules 添加权限。
获得控制台的正确权限总是很棘手,因为了解控制台发出的所有 API 调用并不容易。在这种情况下,我们很幸运,控制台提到了所需的权限!有时,您可以通过检查 AWS CloudTrail 日志发现 API 调用。