我想允许一些开发人员管理防火墙规则,特别是 ec2 安全组中的规则(或理想情况下是其中一些),以便他们可以更新其不断变化的 IP 地址以访问开发机器。我发现没有办法使用可视化界面来定义 ec2 组 - 所以我只能给他们完整的 ec2 管理员权限或只读权限。
如果有办法,实现此目的的最佳方法是什么?我可以通过某种方式为这些计算机创建完整的 ec2 管理员访问权限吗?或者,理想情况下,我可以创建 IAM 权限,以便他们作为用户可以登录 ec2 并只能查看和编辑我选择的那些安全组吗?我怀疑这可以通过编程实现(使用 JSON 规则,可能使用 aws cli),或者其他我不熟悉的方式 - 无论如何,感谢您的帮助。
答案1
AWS 提供了样本政策这样做的目的是:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-vpc-id"
}
}
},
{
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeVpcs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}