Я хотел бы разрешить некоторым разработчикам управлять правилами брандмауэра, в частности правилами в группах безопасности ec2 (или некоторых из них в идеале), чтобы они могли, например , обновите свои изменяющиеся IP-адреса для доступа к машинам разработки. Я обнаружил, что нет способа сделать это с помощью визуального интерфейса для определения группы ec2 - поэтому я могу предоставить им только полного администратора ec2 или только для чтения.
Как лучше всего это сделать, если есть способ? Могу ли я каким-либо образом создать полный доступ администратора ec2 только для этих машин или, в идеале, могу я создать разрешения IAM, чтобы они, как пользователь, могли входить в ec2 и видеть и редактировать только те группы безопасности, которые я выбираю? Я подозреваю, что это возможно программно (с использованием правил JSON, может быть, с помощью aws cli) или каким-то другим способом, с которым я не знаком - в любом случае, благодарю вас за помощь.
AWS предоставляет пример политики, который делает следующее:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:DeleteSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "arn:aws:ec2:*:*:security-group/*",
"Condition": {
"ArnEquals": {
"ec2:Vpc": "arn:aws:ec2:*:*:vpc/vpc-vpc-id"
}
}
},
{
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:DescribeSecurityGroupReferences",
"ec2:DescribeStaleSecurityGroups",
"ec2:DescribeVpcs"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
Вам необходимо как минимум настроить VPC ID
, создайте роль IAM с указанной выше политикой и предоставьте вашим пользователям-разработчикам разрешения на переключение на эту роль.