1

我正在尝试在我们的本地服务器和我们的云基础设施之间建立一个站点到站点的连接。在我们的场所,我们安装了 SonicWall 防火墙,并且从 SonicOS 6.5.1.0 开始,现在可以轻松放置 AWS 访问密钥和 AWS 密钥,并让软件通过 SDK 配置所有内容。

问题是关于如何配置防火墙的教程(第 8 页)说:

用于用户所属组或直接附加到用户的安全策略必须包括以下权限:

• AmazonEC2FullAccess – 适用于 AWS 对象和 AWS VPN

• CloudWatchLogsFullAccess – 适用于 AWS 日志

由于授予任何人对 Amazon EC2 的完全访问权限并不理想,您是否知道 SonicWall 实际需要哪些功能,以便我可以禁用其他所有功能并遵循最小权限原则?

4

1 回答 1

2

如果不查看 SonicWall 本身的代码,就很难确切知道它将对 EC2 进行哪些 API 调用。如果您准备至少暂时授予完整的 EC2 访问权限,则可以使用 AWS CloudTrail 来准确监控与您的本地服务器关联的 IAM 用户正在进行哪些 API 调用,然后更新您的特定策略以匹配这些调用。

或者,从完全访问 IAM 策略模板开始,检查并拒绝您认为与 SonicWall 功能完全无关的任何呼叫。

如果您信任 SonicWall,那么可能最简单的做法就是只允许它声称需要的完整 EC2 访问权限(或者从那里开始并逐渐删除它们,直到出现问题!)

于 2019-04-11T15:03:51.787 回答