AccessDenied для экземпляра EC2 с прикрепленной ролью IAM

Question

У меня есть следующая роль IAM:

• AmazonEC2FullAccess
• Пользовательская политика

В моей пользовательской политике у меня есть:

{
"Version": "2012-10-17",
"Statement": [
    {
        "Sid": "VisualEditor1",
        "Effect": "Allow",
        "Action": "iam:ListRoles",
        "Resource": "*",
        "Condition": {
            "IpAddress": {
                "aws:SourceIp": "10.0.0.0/16"
            }
        }
    }
]
}

Затем я создаю новый экземпляр EC2 и присоединяю к нему эту роль.

Внутри экземпляра EC2 я пытаюсь сделать:

aws iam list-roles

Но я получаю эту ошибку:

Произошла ошибка (AccessDenied) при вызове операции ListRoles: пользователь: arn: aws: sts :: XXXXXXX: предполагаемая роль / My-Role / i-XXXXXX не авторизован для выполнения: iam: ListRolesна ресурсе: arn: aws: iam :: XXXXXXX: роль /

У вас есть идея, почему она не работает, пожалуйста?спасибо.

PS: IP-адрес экземпляра EC2 - 10.0.0.XX

Answer 1

IAM API живет в Интернете.Таким образом, когда он получит ваш запрос, он будет поступать с IP-адреса экземпляра.IAM никогда не видит частный IP-адрес экземпляра.

Теоретически ограничение IP-адреса не должно быть необходимым, поскольку роль может использоваться только в тех случаях, когда она была назначена.Вы должны обеспечить безопасность того, кто может использовать роль (iam:PassRole), а не из того места, где эта роль может использоваться.