针对 Foreman / RH Satellite 的最小权限 AWS IAM 策略,用于全面管理 EC2 计算资源

针对 Foreman / RH Satellite 的最小权限 AWS IAM 策略,用于全面管理 EC2 计算资源

这是第一次发帖,如果我错过了一些惯例,我提前道歉。

我正在尝试发现 Foreman/RH Satellite 所需的最小特权访问,以便能够完全管理具有完整功能的 EC2 计算资源。到目前为止,我已经成功实施了以下策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1452211947000",
            "Effect": "Allow",
            "Action": [
                "apigateway:*"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/*"
            ]
        },
        {
            "Sid": "Stmt1452212146000",
            "Effect": "Allow",
            "Action": [
                "execute-api:*"
            ],
            "Resource": [
                "arn:aws:execute-api:*:*:*"
            ]
        },
        {
            "Sid": "Stmt1452212199000",
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "autoscaling:*",
                "elasticloadbalancing:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

但是,我只进行了少量测试,并且可能存在我尚未遇到的高级 Foreman/Satellite 功能的权限限制。

因此,我有两个问题:

  1. Foreman/RH Satellite 是否需要任何权限才能正确、全面地管理以下 EC2 资源:不是在这个政策中?
  2. 这项政策中是否存在多余的部分,以致 Foreman/Satellite 永远不会使用它?

背景(如果相关):我们有一个 RH Satellite 服务器,管理着我们大量的现场服务器。AWS 就像一列货运列车一样滚滚而来,因为对于高层管理人员来说,这是一个有趣的流行词,他们对我们的整个环境知之甚少,却拥有全部控制权。我一直在努力建立 EC2 计算资源连接,以便我们可以跨多个独立的 AWS 账户管理 EC2 实例,这意味着在每个 AWS 账户上创建一个 IAM 用户,以便从 Satellite 访问该账户的 EC2 实例。到目前为止,我们遭到了 IT 安全部门的抵制,因为他们想知道访问所需的最小权限,然后才会批准。

我查阅了数周的文档,却一无所获,我的 Google 功力也让我失望了。我还向 Red Hat 提出了一个案例,但令我失望的是,我收到的唯一真正回复是“检查防火墙上的这些端口”。

相关内容