Usando funções do IAM para gerar um inventário dinâmico para o Ansible

3

Estou pensando em configurar um servidor de implantação em nosso VPC e estou tentando usar uma função do IAM em vez de chaves para o Ansibles dynamic ec2.py script de inventário.

Uma resposta em Posso usar as funções do IAM para Ansible ? é possível, no entanto, não indica quais permissões são necessárias.

Gostaria de saber se alguém é capaz de fornecer mais detalhes sobre quais permissões são necessárias para gerar um inventário dinâmico.

Edit: Eu revi os documentos e acho que parte da solução é descobrir quais permissões botos .

    
por hafichuk 19.10.2015 / 18:43

2 respostas

3

Supondo que o único inventário que você deseja são recursos baseados no EC2, permitir que as ações "ec2: Descrever *" sejam suficientes:

"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"

Consulte Permitir que os usuários listem os recursos do Amazon EC2 que pertencem à conta da AWS

    
por 19.10.2015 / 20:33
0
  1. Faça login no console de gerenciamento da AWS. Vá para Identity & Access Management/Roles/Create New Role
  2. Dê um nome ao seu papel, por exemplo ansible , porque a instância com esse papel executará o Ansible.
  3. Abaixo de AWS Service Roles select Amazon EC2
  4. Selecione Power User Access , você terá um nome de política e um documento de política, uma string JSON como esta:
   {
        "Version": "20XX-XX-XX",
        "Statement": [
            {
                "Effect": "Allow",
                "NotAction": "iam:*",
                "Resource": "*"
            }
        ]
    }
  1. Next Step/Create Role
  2. Você terá um perfil de instância com o mesmo nome que atribuiu à sua função e a função será associada ao perfil da instância. Agora, quando você criar a nova instância para implantar Ansible, você fornecerá esse perfil de instância à instância, e essa instância terá as permissões para a função.
por 05.01.2016 / 02:32