こんにちわ
がじぇったー (@hackmylife7) | Twitter
です。
掲題の通りなのですが調査した結果を書いておきます。
やりたかったこと
セキュリティグループ(EC2)の閲覧/編集権限を保有するIAMポリシーを作成する
具体的には以下のACTIONが可能なIAM権限
- セキュリティグループのルール内容の閲覧
- セキュリティグループにインバウンドルールおよびアウトバウンドルールの追加・削除
- セキュリティグループのアタッチ
上記操作に必要なアクション
- セキュリティグループのルール内容の閲覧
- ec2:DescribeSecurityGroups
- セキュリティグループへのルール追加
- ec2:AuthorizeSecurityGroupEgress
- ec2:AuthorizeSecurityGroupIngress
- セキュリティグループのルール削除
- ec2:RevokeSecurityGroupEgress
- ec2:RevokeSecurityGroupIngress
- セキュリティグループのアタッチおよびデタッチ
- ec2:ModifyNetworkInterfaceAttribute
関連するセキュリティグループの操作に関するアクション
- セキュリティグループの作成
- ec2:CreateSecurityGroup
- セキュリティグループの削除
- ec2:DeleteSecurityGroup
- セキュリティグループ内のルールの説明の編集
- ec2:UpdateSecurityGroupRuleDescriptionsEgress
- ec2:UpdateSecurityGroupRuleDescriptionsIngress
- セキュリティグループが参照されているVPC ピアリングの確認
- ec2:DescribeSecurityGroupReferences
作成したポリシー
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "SecurityGroupReadEditable",
"Effect": "Allow",
"Action": [
"ec2:DescribeSecurityGroups",
"ec2:AuthorizeSecurityGroupEgress",
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress ",
"ec2:RevokeSecurityGroupIngress",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:CreateSecurityGroup",
"ec2:DeleteSecurityGroup ",
"ec2:UpdateSecurityGroupRuleDescriptionsEgress",
"ec2:UpdateSecurityGroupRuleDescriptionsIngress",
"ec2:DescribeSecurityGroupReferences"
],
"Resource": "*"
}
]
}
AWSの名著
