Назад | Перейти на главную страницу

Политика AWS IAM, позволяющая пользователю изменять только одну конкретную группу безопасности.

Я пытаюсь разрешить пользователю изменять правила для входящего трафика в одной конкретной группе безопасности.

Вот что я пробовал. Я думал, что это будет просто, но это не работает. Какие еще разрешения мне нужно предоставить?

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "ec2:RevokeSecurityGroupIngress",
                "ec2:AuthorizeSecurityGroupIngress"
            ],
            "Resource": "arn:aws:ec2:*:1234567890:security-group/sg-0115448f9fcb00g3c"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "ec2:DescribeSecurityGroups",
            "Resource": "*"
        }
    ]
}

Авторизация для просмотра групп безопасности не происходит.

Оказывается, пользователь не смотрел на правильный регион в консоли AWS, поэтому не мог видеть группы безопасности, связанные с регионом, на редактирование которого у него было разрешение.

Сама политика IAM правильная, если кому-то нужно добиться того же.