Вопросы политики AWS IAM

Question

Итак, у меня возникли проблемы с политикой AWS в IAM.У меня обязательно есть отделение "управления" для нескольких вещей.Я хочу иметь возможность ограничить доступ пользователей ко всему, отфильтрованному по VPC.Таким образом, пользователь может выполнять только те действия в VPC, которые назначены его политике.

Моя политика IAM:

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "Stmt1549549655017",
        "Action": "*",
        "Effect": "Deny",
        "Resource": "*",
        "Condition": {
            "StringEquals": {
                "aws:SourceVpc": "vpc-########"
            }
        }
    }
]
} 

Я применяю эту политику к пользователю, но он все еще может запускаться /остановите экземпляры ec2 или добавьте группы безопасности для чего-либо в этом VPC.Я подумал, что это могло быть из-за того, что пользователь был администратором, поэтому я удалил это и дал им доступ к конкретным, но это все же позволило им получить доступ.

Предложения?

Answer 1

Условие aws:SourceVpc доступно только для служб, поддерживающих трафик через конечную точку VPC.Вызов службы EC2 не поддерживает конечные точки VPC, поэтому это условие не будет применяться.Обратитесь к https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html для условий, которые могут применяться к различным действиям и ресурсам ec2.

Я не уверен, каков вариант использования этого - но я скромно предположил бы, что VPC являетсяне правильное решение для изоляции проблем управления.Вы должны иметь это в отдельной учетной записи, чтобы ваш радиус взрыва от ошибки пользователя был ограничен одной проблемой, то есть управлением или пользовательским приложением, а не обоими.

Answer 2

Попробуйте заменить этот код в разделе условий.Он должен работать

 "StringEquals": {
        "ec2:Vpc": "arn:aws:ec2:region:account:vpc/vpc-1a2b3c4d"
        }

Здесь, в другом разделе, вы можете указать все API, к которым вам требуется доступ.Это обеспечит вам доступ к этим API в пределах vpc.