がじぇ

お金と家電とプログラミングのブログ

【AWS】SecurityGroupを編集するIAMの権限(Action)について

こんにちわ

がじぇったー (@hackmylife7) | Twitter


です。


掲題の通りなのですが調査した結果を書いておきます。




やりたかったこと


セキュリティグループ(EC2)の閲覧/編集権限を保有するIAMポリシーを作成する
具体的には以下のACTIONが可能なIAM権限

  • セキュリティグループのルール内容の閲覧
  • セキュリティグループにインバウンドルールおよびアウトバウンドルールの追加・削除
  • セキュリティグループのアタッチ

上記操作に必要なアクション

  • セキュリティグループのルール内容の閲覧
    • ec2:DescribeSecurityGroups
  • セキュリティグループへのルール追加
    • ec2:AuthorizeSecurityGroupEgress
    • ec2:AuthorizeSecurityGroupIngress
  • セキュリティグループのルール削除
    • ec2:RevokeSecurityGroupEgress
    • ec2:RevokeSecurityGroupIngress
  • セキュリティグループのアタッチおよびデタッチ
    • ec2:ModifyNetworkInterfaceAttribute

関連するセキュリティグループの操作に関するアクション

  • セキュリティグループの作成
    • ec2:CreateSecurityGroup
  • セキュリティグループの削除
    • ec2:DeleteSecurityGroup
  • セキュリティグループ内のルールの説明の編集
    • ec2:UpdateSecurityGroupRuleDescriptionsEgress
    • ec2:UpdateSecurityGroupRuleDescriptionsIngress
  • セキュリティグループが参照されているVPC ピアリングの確認
    • ec2:DescribeSecurityGroupReferences

作成したポリシー

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SecurityGroupReadEditable",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSecurityGroups",
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",
                "ec2:RevokeSecurityGroupEgress ",
                "ec2:RevokeSecurityGroupIngress",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:CreateSecurityGroup",
                "ec2:DeleteSecurityGroup ",
                "ec2:UpdateSecurityGroupRuleDescriptionsEgress",
                "ec2:UpdateSecurityGroupRuleDescriptionsIngress",
                "ec2:DescribeSecurityGroupReferences"
            ],
            "Resource": "*"
        }
    ]
}


AWSの名著