ব্যবহারকারীকে এডাব্লুএস / ইসি 2 সুরক্ষা গোষ্ঠীগুলি সম্পাদনা করার অনুমতি দেওয়ার জন্য আইএএম ব্যবহার করবেন?

16

আমি একটি আইএএম গোষ্ঠীকে আমাদের ইসি 2 সুরক্ষা গোষ্ঠীগুলি সম্পাদনা করার ক্ষমতা দেওয়ার চেষ্টা করছি, তবে ইসি 2 এর সমস্ত কিছুর অ্যাক্সেস না দিয়ে আমি এই কাজটি করতে পারিনি।

আমি এর বেশ কয়েকটি সংস্করণ চেষ্টা করেছি:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1392336685000",
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:security-group/*"
      ]
    }
  ]
}

তবে আমি যখন আইএএম ব্যবহারকারীর সাথে লগইন করি তখন আমি সুরক্ষা গোষ্ঠীর পৃষ্ঠাতে একটি বার্তা পাই যে "আপনি এই ক্রিয়াকলাপটি চালানোর জন্য অনুমোদিত নন"।

আমি জানি যে ব্যবহারকারী / গোষ্ঠী কাজ করছে কারণ আমি যদি "অ্যামাজন ইসি 2 ফুল অ্যাক্সেস" এর জন্য আইএএম নীতি টেম্পলেটটি নির্বাচন করি তবে ব্যবহারকারী ইসি 2-তে সমস্ত কিছু অ্যাক্সেস করতে পারবেন।

স্পষ্টতই আইএএম এর সাথে আমার প্রচুর অভিজ্ঞতা নেই, কোনও সাহায্যের প্রশংসা হবে।

amazon-ec2  amazon-web-services  amazon-iam 
ক্রিস
সূত্র

উত্তর:

13

এটি কাজ করার জন্য, আপনাকে নিম্নলিখিতগুলি পরিষ্কারভাবে প্রকাশ করতে হবে:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1392679134000",
      "Effect": "Allow",
      "Action": [
        "ec2:AuthorizeSecurityGroupEgress",
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:CreateSecurityGroup",
        "ec2:DeleteSecurityGroup",
        "ec2:DescribeInstanceAttribute",
        "ec2:DescribeInstanceStatus",
        "ec2:DescribeInstances",
        "ec2:DescribeNetworkAcls",
        "ec2:DescribeSecurityGroups",
        "ec2:RevokeSecurityGroupEgress",
        "ec2:RevokeSecurityGroupIngress"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

উপরের জেএসওন নীতিটি মূলতঃ কেবলমাত্র উপরোক্ত ব্যবহারকারীর অ্যাক্সেস ব্যবহার করে। তাদের আর কোনও কিছুর অ্যাক্সেস থাকবে না। এর মধ্যে রয়েছে ec2 দৃষ্টান্ত, এস 3, আইএএম, ক্লাউডফ্রন্ট ইত্যাদি,

স্কট মুর
সূত্র
1
এই ওয়ার্কড ধন্যবাদ. ব্যবহারকারী সমস্ত ইনস্ট্যান্স ডেটা দেখতে পাচ্ছেন তবে শুরু / থামাতে / তৈরি করতে পারবেন না, তাই যথেষ্ট। আপনি কি মনে করেন যে কোন সুরক্ষা গোষ্ঠীগুলি তারা অ্যাক্সেস করতে পারে তার সঠিকভাবে জানার কোনও উপায় আছে বা আমার কী এটি সমস্ত সুরক্ষা গোষ্ঠীর জন্য উন্মুক্ত রাখা দরকার?
ক্রিস
@ DevMan14 তাই সুনির্দিষ্ট সুরক্ষা গোষ্ঠীগুলি বর্ণনা করার কোনও উপায় আছে? আমি যখন কোনও সেকেন্ড চেষ্টা করি নীচের মতো রিসোর্সটি কাজ করে না এবং এই কোডটি দিয়ে, কেউ aws ec2 বর্ণনা-সুরক্ষা-গোষ্ঠীগুলি ব্যবহার করতে সক্ষম এবং প্রতিটি সুরক্ষা গোষ্ঠী সম্পর্কে মোটামুটি তথ্য পেতে
সক্ষম হবে
1
আপনি যদি EC2ResponseError দেখতে পান: 403 নিষেধাজ্ঞাযুক্ত ত্রুটিগুলি, আপনার নীতি সেটআপ / সংশোধন করার অল্প সময়ের পরে, নোট করুন যে আমার নীতি কার্যকর হওয়ার কয়েক মিনিট সময় লেগেছিল
ঝড়_ম 2138
12

আপনি যদি কোনও একক সুরক্ষা গোষ্ঠীতে সম্পাদনা সীমাবদ্ধ করতে চান তবে আমার মনে হয় আপনার 2 টি বিবৃতি প্রয়োজন, নিম্নলিখিতটি আমার পক্ষে কাজ করেছে:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1413232782000",
            "Effect": "Allow",
            "Action": [               
                "ec2:DescribeInstanceAttribute",
                "ec2:DescribeInstanceStatus",
                "ec2:DescribeInstances",
                "ec2:DescribeNetworkAcls",
                "ec2:DescribeSecurityGroups"              
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Sid": "Stmt1413232782001",
            "Effect": "Allow",
            "Action": [
                "ec2:AuthorizeSecurityGroupEgress",
                "ec2:AuthorizeSecurityGroupIngress",                
                "ec2:RevokeSecurityGroupEgress",
                "ec2:RevokeSecurityGroupIngress"
            ],
            "Resource": [
                "arn:aws:ec2:us-east-1:<accountid>:security-group/sg-<id>"
            ]
        }
    ]
}

বর্ণনা ইন্স্ট্যান্সের প্রয়োজন হতে পারে না তবে আমার ক্ষেত্রে আমি এটি চেয়েছিলাম, সুতরাং এটি ছাড়া পরীক্ষা করা হয়নি

গিলিয়াম গ্রস
সূত্র
1
আমি ডিজারবেইনস্ট্যান্স বিধিগুলি ছাড়াই এসজি বিধিগুলি সম্পাদনা করতে সক্ষম হয়েছি। যেমন গ্লোবাল * বিকল্পগুলি কেবলমাত্র এই হিসাবে সেট করা হচ্ছে: "ec2:DescribeNetworkAcls", "ec2:DescribeSecurityGroups"
ঝড়_ম 2138
1

দেখে মনে হচ্ছে আপনার সুরক্ষা গোষ্ঠীটি সম্ভবত কোনও উদাহরণ বা অন্য কোনও ইসি 2 সংস্থান দ্বারা ব্যবহৃত হচ্ছে। আপনি কি চেষ্টা করে দেখবেন:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "Stmt1392336685000",
      "Effect": "Allow",
      "Action": [
        "ec2:*"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:instance/*",
        "arn:aws:ec2:us-east-1:<MYACCOUNTHERE>:security-group/*"
      ]
    }
  ]
}
রিকো
সূত্র
উত্তরের জন্য আপনাকে ধন্যবাদ তবে এটি কার্যকর হয়নি। হ্যাঁ, সুরক্ষা গোষ্ঠীগুলি একাধিক দৃষ্টান্ত দ্বারা ব্যবহৃত হচ্ছে - তারা কি "ইসি 2 সুরক্ষা গোষ্ঠী" এবং "ভিপিসি সুরক্ষা গোষ্ঠী" নয় তা বিবেচনা করে? - অথবা হতে পারে আমি অন্য কোনও ভুল করছি কারণ এটি ব্যবহারকারীকে উদাহরণগুলিও দেখতে দেয় না, যা আমি অর্ধেক এটি করার প্রত্যাশা করেছি।
ক্রিস
1

আমি একটি জন্য একটি উত্তর খুঁজছিলাম প্রশ্ন যে @ nsij22 গৃহীত উত্তর মন্তব্যের জিজ্ঞাসা। দুর্ভাগ্যক্রমে, দেখে মনে হচ্ছে এটি সম্ভব নয়। আইএএম পলিসি সিমুলেটর অনুসারে , @ দেবম্যান ১৪ এর উত্তর থেকে নিম্নলিখিত ক্রিয়াকলাপগুলি নির্দিষ্ট সংস্থানগুলির সাথে ব্যবহার করা যেতে পারে:

  • DeleteSecurityGroup
  • AuthorizeSecurityGroupEgress
  • AuthorizeSecurityGroupIngress
  • RevokeSecurityGroupEgress
  • RevokeSecurityGroupIngress

অন্য কিছুর জন্য, আইএএম নীতি সিমুলেটর বলেছেন:

এই ক্রিয়াটি সংস্থান-স্তরের অনুমতিগুলি সমর্থন করে না। অ্যাক্সেস মঞ্জুর করার নীতিগুলি অবশ্যই উত্স উপাদানের "*" নির্দিষ্ট করে।

দেখে মনে হচ্ছে:

স্ক্রিনশট

সমস্ত "অনুমোদিত" এবং "অস্বীকৃত" একই, তাই আমি সেগুলি ভেঙে ফেলেছি।

selurvedu
সূত্র
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.