Estou pensando em configurar um servidor de implantação em nosso VPC e estou tentando usar uma função do IAM em vez de chaves para o Ansibles dynamic ec2.py script de inventário.
Uma resposta em Posso usar as funções do IAM para Ansible ? é possível, no entanto, não indica quais permissões são necessárias.
Gostaria de saber se alguém é capaz de fornecer mais detalhes sobre quais permissões são necessárias para gerar um inventário dinâmico.
Edit: Eu revi os documentos e acho que parte da solução é descobrir quais permissões botos .
Supondo que o único inventário que você deseja são recursos baseados no EC2, permitir que as ações "ec2: Descrever *" sejam suficientes:
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
Consulte Permitir que os usuários listem os recursos do Amazon EC2 que pertencem à conta da AWS
Identity & Access Management/Roles/Create New Role
ansible , porque a instância com esse papel executará o Ansible. AWS Service Roles select Amazon EC2
Power User Access , você terá um nome de política e um documento de política, uma string JSON como esta:
{
"Version": "20XX-XX-XX",
"Statement": [
{
"Effect": "Allow",
"NotAction": "iam:*",
"Resource": "*"
}
]
}
Next Step/Create Role Tags amazon-ec2 ansible amazon-iam boto