我无法确定AWS IAM中缺少允许编辑防火墙规则的权限
我正在尝试创建一个策略,无论我尝试哪种变体,它都不起作用。
我只是希望用户能够在安全组中编辑入站/出站规则。我最终放弃了指定资源的尝试,只是为了排除这一原因。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:CreateSecurityGroup",
"ec2:RevokeSecurityGroupEgress",
"ec2:DeleteSecurityGroup",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstanceAttribute",
"ec2:DescribeInstanceStatus",
"ec2:DescribeInstances",
"ec2:DescribeNetworkAcls",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}
我可以确认用户已正确添加到策略中,因为作为测试,我为用户提供了对所有内容的所有权限,并且它运行良好并显示了入站规则。
我甚至尝试了AWS文档,它告诉我一些权限甚至不存在:https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-ec2-console.html
“ec2:描述安全组规则”确切地说
共有1个答案
看起来DescribeSecurityGroup规则是在您写这个问题的前2天添加的!
请参阅:使用新的安全组规则ID轻松管理安全组规则| AWS新闻博客
这可以解释为什么现有文档没有引用这些权限。
因此,我建议添加ec2: DescribeSecurityGroup规则和ec2: ModifySecurityGroup规则的权限。
要获得控制台的正确权限总是很棘手的,因为要知道控制台正在进行的所有API调用并不容易。在这种情况下,我们很幸运,控制台提到了所需的权限!有时,您可以通过检查AWS CloudTrail日志来发现正在进行的API调用。
-
你好,社区,我正在通过运行以下。我也从Ubuntu18.04.4LTS中得到了类似的结果。 我还提出了一个github问题:https://github.com/azure/ansible/issues/21 我使用Azure CLI是什么意思? ->创建一个新的yml文件。复制下面的脚本。 ->运行下面的剧本。使用此命令 ->以下脚本失败 而且,即使有我可以更改的选择,保存按钮也没有响应。整个防
-
我们有一个相当严格的网络分段策略。我正在使用云代工实例来部署应用程序。防火墙规则已经设置为从云代工实例中到达kafka集群。我相信防火墙规则也已经设置为到达动物园管理员实例。我需要实际确认一下。 我的问题似乎是我可以向kafka生成消息,但我的消费者似乎没有取件。它似乎在“轮询”时挂起。 对于我的防火墙规则,是否有一些隐藏的主机或端口需要处理,而不仅仅是标准主机和kafka和zookeeper节点
-
我们已经创建了一个应用引擎实例作为后端,另一个来自云函数。现在云函数需要在同一个谷歌项目中从应用引擎访问api。如果应用引擎的防火墙允许每个人访问,这很好。但是在我们的例子中,我们需要限制来自云函数的访问。 我是GCP的新手,非常感谢您的建议。提前谢谢。
-
我启动了我的第一个开放存储库项目EphChat,人们很快就开始用大量的请求淹没它。 当前的安全规则如下。 我想限制写(和读?)整个Rooms对象的数据库,因此每秒只能发出1个请求(例如)。
-
本文向大家介绍Windows 2008 R2防火墙,允许被ping的设置方法,包括了Windows 2008 R2防火墙,允许被ping的设置方法的使用技巧和注意事项,需要的朋友参考一下 1.准备 1)原因 出于安全因素考虑,在Windows 2008 R2上是不允许从外部对其Ping指令,如果需要配置允许被Ping,必须通过“高级安全Windows防火墙”进行配置。 2)设备 一台Windwos
-
基本概念 netfilter Linux 内核包含一个强大的网络过滤子系统 netfilter。netfilter 子系统允许内核模块对遍历系统的每个网络数据包进行检查。这表示在任何传入、传出或转发的网络数据包到达用户空间中的组件之前,都可以通过编程方式检查、修改、丢弃或拒绝。netfilter 是 RHEL 7 计算机上构建防火墙的主要构建块。 尽管系统管理员理论上可以编写自己的内核模块以与 n