Первый пост, поэтому заранее прошу прощения, если пропущу некоторые соглашения.
Я пытаюсь найти минимальные привилегии доступа, необходимые для Foreman / RH Satellite, чтобы иметь возможность полностью управлять вычислительным ресурсом EC2 с полной функциональностью. До сих пор я добился успеха со следующей политикой:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1452211947000",
"Effect": "Allow",
"Action": [
"apigateway:*"
],
"Resource": [
"arn:aws:apigateway:*::/*"
]
},
{
"Sid": "Stmt1452212146000",
"Effect": "Allow",
"Action": [
"execute-api:*"
],
"Resource": [
"arn:aws:execute-api:*:*:*"
]
},
{
"Sid": "Stmt1452212199000",
"Effect": "Allow",
"Action": [
"ec2:*",
"cloudwatch:*",
"autoscaling:*",
"elasticloadbalancing:*"
],
"Resource": [
"*"
]
}
]
}
Однако я провел лишь небольшое тестирование, и могут быть ограниченные разрешения для расширенных функций Foreman / Satellite, с которыми мне еще предстоит столкнуться.
Итак, у меня два вопроса:
Предыстория, если уместно: у нас есть сервер RH Satellite, который управляет большим количеством наших локальных серверов. AWS движется, как грузовой поезд, потому что это забавное модное слово для высшего руководства, которое очень мало понимает и полностью контролирует всю нашу среду. Я работал над настройкой подключения к вычислительным ресурсам EC2, чтобы мы могли управлять экземплярами EC2 в нескольких изолированных учетных записях AWS, что означает создание пользователя IAM в каждой учетной записи AWS для доступа к экземплярам EC2 этой учетной записи из Satellite. Пока что мы встречаем сопротивление со стороны нашего отдела ИТ-безопасности, потому что они хотят знать минимум привилегий, необходимых для этого доступа, прежде чем они дадут разрешение.
Я неделями безуспешно копался в документации, и мой гугл-фу меня подвел. Я также открыл дело с Red Hat и был разочарован тем, что единственный реальный ответ, который я получил, был: «проверьте эти порты на брандмауэре».