0

我一直在尝试在 AWS 上实施一项新策略,以允许特定用户管理特定的安全组。我曾经有这个工作,但它在几周前停止工作,现在无论我尝试什么,我都无法让它再次工作。

是否有人拥有关于如何创建策略以允许用户修改特定安全角色的有效 JSON 配置?这主要是为了允许某些用户在使用动态 IP 时更改防火墙规则。

编辑:这是我当前的 JSON 配置:

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "s1",
        "Effect": "Allow",
        "Action": [
            "ec2:DescribeInstanceAttribute",
            "ec2:DescribeInstanceStatus",
            "ec2:DescribeInstances",
            "ec2:DescribeNetworkAcls",
            "ec2:DescribeSecurityGroups"
        ],
        "Resource": [
            "*"
        ]
    },
    {
        "Sid": "s2",
        "Effect": "Allow",
        "Action": [
            "ec2:AuthorizeSecurityGroupEgress",
            "ec2:AuthorizeSecurityGroupIngress",
            "ec2:RevokeSecurityGroupEgress",
            "ec2:RevokeSecurityGroupIngress"
        ],
        "Resource": [
            "arn:aws:ec2:*:*:security-group/sg-<my id>"
        ]
    }
]

}

4

1 回答 1

3

你提到的政策看起来是正确的。但它不允许您修改现有的出口/入口安全规则。如果要修改安全组规则,可以删除已有的安全组规则,添加新的安全组规则。

要允许对现有安全组规则进行修改,请添加此权限ec2:ModifySecurityGroupRules

修改后的政策

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeSecurityGroupRules",
                "ec2:DescribeInstanceAttribute",
                "ec2:DescribeNetworkAcls",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeInstanceStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": [
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:RevokeSecurityGroupEgress",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress",
                "ec2:ModifySecurityGroupRules"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:security-group/<sg-id>",
                "arn:aws:ec2:*:*:security-group-rule/*"
            ]
        }
    ]
}

注意:此策略允许您编辑安全组以及该安全组下的任何安全组规则。您还可以通过为相应的安全组 ID 提及安全组规则 ID (arn:aws:ec2: : :security-group-rule/$sgr-id) 来限制使用安全组规则的访问。

于 2021-08-01T07:05:05.757 回答