Primeiro post, peço desculpas antecipadamente se sentir falta de algumas convenções.
Estou tentando descobrir o menor acesso de privilégios necessário para que o Foreman / RH Satellite possa gerenciar totalmente um recurso de computação do EC2 com funcionalidade total. Até agora, fui bem-sucedido com a seguinte política:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1452211947000",
"Effect": "Allow",
"Action": [
"apigateway:*"
],
"Resource": [
"arn:aws:apigateway:*::/*"
]
},
{
"Sid": "Stmt1452212146000",
"Effect": "Allow",
"Action": [
"execute-api:*"
],
"Resource": [
"arn:aws:execute-api:*:*:*"
]
},
{
"Sid": "Stmt1452212199000",
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"autoscaling:*",
"elasticloadbalancing:*"
],
"Resource": [
"*"
]
}
]
}
No entanto, fiz apenas uma pequena quantidade de testes e pode haver permissões restritas para recursos avançados do Foreman / Satellite que ainda não foram executados.
Então, eu tenho duas perguntas:
Histórico, se relevante: Temos um servidor RH Satellite gerenciando um bom número de nossos servidores no local. A AWS está entrando como um trem de carga porque é uma palavra divertida para a alta gerência que tem muito pouca compreensão e todo o controle sobre todo o nosso ambiente. Tenho trabalhado na configuração de conectividade de recursos de computação do EC2 para gerenciar instâncias do EC2 em várias contas isoladas da AWS, o que significa criar um usuário do IAM em cada conta da AWS para acessar as instâncias EC2 dessa conta do Satellite. Até agora, obtivemos resistência do nosso departamento de segurança de TI, porque eles querem saber qual é o menor privilégio necessário para esse acesso, antes de dar o OK.
Eu vasculhei a documentação por semanas sem sucesso, e meu Google-fu falhou comigo. Eu também abri um caso com a Red Hat, e fiquei desapontado que a única resposta real que recebi foi "verificar essas portas no firewall".