Como adicionar Restrições de Acesso SPECIFIC CloudFormation, EC2, RDS e S3 no AWS - IAM

3

O que estou tentando fazer é criar um grupo para uma equipe externa que requer acesso ao CloudFormation do qual está em nossa conta. Gostaria de definir restrições ao grupo deles para que eles visualizem e editem seu próprio site sem visualizar o restante dos sites da minha conta de equipes.

Eu tenho uma política de teste que deveria permitir que o usuário visualizasse apenas uma instância específica do EC2 (o exemplo está abaixo), mas quando eu digito login como o grupo restrito, tenho uma mensagem que diz "Ocorreu um erro buscando dados da instância: você não está autorizado a executar esta operação. "

{
  "Statement":[{
    "Effect":"Allow",
    "Action":"ec2:*",
    "Resource":arn:aws:ec2:us-east-1:NUMBERS:instance/instance-ID",
    "Condition":{
      "ArnEquals":{
        "ec2:Owner":"arn:aws:ec2:us-east-1:NUMBERS:instance/instance-ID"
        }
      }
    }
  ]
}

Existe uma maneira de configurar restrições de grupo para determinados CloudFormations, incluindo suas instâncias do EC2, RDS e S3 Buckets?

Obrigado,

    
por Lgalan90 30.06.2014 / 18:25

1 resposta

2

Infelizmente, o Gerenciamento de identidades e acesso (IAM) da AWS não cobre totalmente esse aspecto específico até hoje, porque são href="http://aws.typepad.com/aws/2013/07/resource-permissions-for-ec2-and-rds-resources.html"> ainda não disponível para todas as ações da API, consulte por exemplo esta nota de Nomes de recursos da Amazon para o Amazon EC2 :

Important Currently, not all API actions support individual ARNs; we'll add support for additional API actions and ARNs for additional Amazon EC2 resources later. For information about which ARNs you can use with which Amazon EC2 API actions, as well as supported condition keys for each ARN, see Supported Resources and Conditions for Amazon EC2 API Actions.

Você descobrirá que todas as ações de ec2:Describe* ainda estão ausentes de Recursos e condições suportados para ações da API do Amazon EC2 no momento da redação deste documento, que está causando o erro que você está enfrentando.

Veja também Concedendo permissões necessárias aos usuários do IAM para recursos do Amazon EC2 para obter um resumo conciso dos itens acima e detalhes sobre as chaves de condição ARNs e Amazon EC2 que você pode usar em uma instrução de política do IAM para conceder aos usuários permissão para criar ou modificar recursos específicos do Amazon EC2 - esta página também menciona que a AWS adicionará suporte para ações, ARNs e chaves de condição adicionais em 2014 .

Alternativa / solução alternativa

Dependendo do cenário específico, pode ser mais fácil provisionar apenas uma conta da AWS separada, que pode ser integrada à política do seu IAM por meio de Acesso entre contas: Compartilhamento de recursos entre contas da AWS e faturamento via Faturamento consolidado .

    
por 01.07.2014 / 11:48

Tags