这是第一次发帖,如果我错过了一些惯例,我提前道歉。
我正在尝试发现 Foreman/RH Satellite 所需的最小特权访问,以便能够完全管理具有完整功能的 EC2 计算资源。到目前为止,我已经成功实施了以下策略:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1452211947000",
"Effect": "Allow",
"Action": [
"apigateway:*"
],
"Resource": [
"arn:aws:apigateway:*::/*"
]
},
{
"Sid": "Stmt1452212146000",
"Effect": "Allow",
"Action": [
"execute-api:*"
],
"Resource": [
"arn:aws:execute-api:*:*:*"
]
},
{
"Sid": "Stmt1452212199000",
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"autoscaling:*",
"elasticloadbalancing:*"
],
"Resource": [
"*"
]
}
]
}
但是,我只进行了少量测试,并且可能存在我尚未遇到的高级 Foreman/Satellite 功能的权限限制。
因此,我有两个问题:
- Foreman/RH Satellite 是否需要任何权限才能正确、全面地管理以下 EC2 资源:不是在这个政策中?
- 这项政策中是否存在多余的部分,以致 Foreman/Satellite 永远不会使用它?
背景(如果相关):我们有一个 RH Satellite 服务器,管理着我们大量的现场服务器。AWS 就像一列货运列车一样滚滚而来,因为对于高层管理人员来说,这是一个有趣的流行词,他们对我们的整个环境知之甚少,却拥有全部控制权。我一直在努力建立 EC2 计算资源连接,以便我们可以跨多个独立的 AWS 账户管理 EC2 实例,这意味着在每个 AWS 账户上创建一个 IAM 用户,以便从 Satellite 访问该账户的 EC2 实例。到目前为止,我们遭到了 IT 安全部门的抵制,因为他们想知道访问所需的最小权限,然后才会批准。
我查阅了数周的文档,却一无所获,我的 Google 功力也让我失望了。我还向 Red Hat 提出了一个案例,但令我失望的是,我收到的唯一真正回复是“检查防火墙上的这些端口”。