Saya mencoba memberi kelompok IAM kemampuan untuk mengedit Grup Keamanan EC2 kami, tetapi saya tidak dapat membuatnya berfungsi tanpa memberikan akses ke semua yang ada di EC2.
Saya sudah mencoba beberapa versi:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1392336685000",
"Effect": "Allow",
"Action": [
"ec2:*"
],
"Resource": [
"arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:security-group/*"
]
}
]
}
Tetapi ketika saya login dengan pengguna IAM, saya mendapatkan pesan di halaman Security Group yang mengatakan "Anda tidak berwenang untuk melakukan operasi ini."
Saya tahu bahwa pengguna / grup berfungsi karena jika saya memilih Template Kebijakan IAM untuk "Amazon EC2 Full Access", pengguna dapat mengakses semua yang ada di EC2.
Saya jelas tidak memiliki banyak pengalaman dengan IAM, bantuan apa pun akan sangat dihargai.
Jika Anda ingin membatasi pengeditan pada grup keamanan tunggal, saya pikir Anda memerlukan 2 pernyataan, berikut ini berfungsi untuk saya:
JelaskanInstance mungkin tidak diperlukan tetapi dalam kasus saya saya menginginkannya, jadi belum diuji tanpa itu
sumber
"ec2:DescribeNetworkAcls", "ec2:DescribeSecurityGroups"
Sepertinya grup keamanan Anda mungkin sedang digunakan oleh sebuah instance atau sumber daya EC2 lainnya. Bisakah kamu mencoba:
sumber
Saya sedang mencari jawaban untuk pertanyaan yang @ nsij22 tanyakan dalam komentar jawaban yang diterima. Sayangnya, sepertinya itu tidak mungkin. Menurut Simulator Kebijakan IAM , hanya tindakan berikut dari jawaban @ DevMan14 yang dapat digunakan dengan sumber daya spesifik:
Untuk yang lainnya, Simulator Kebijakan IAM mengatakan:
Ini terlihat seperti ini:
.
Semua "diizinkan" dan "ditolak" sama, jadi saya pisahkan mereka.
sumber