Связь между сайтами между SonicWall и AWS - политика IAM

Question

Я пытаюсь установить соединение между сайтами между нашим локальным сервером и облачной инфраструктурой.В наших помещениях установлен брандмауэр SonicWall, и, начиная с SonicOS 6.5.1.0, теперь легко установить ключ доступа AWS и секретный ключ AWS и позволить программному обеспечению все настроить через SDK.

Проблема в том, что руководство по настройке брандмауэра (стр. 8) гласит:

Политика безопасности, используемая либо для группы, к которой принадлежит пользователь, либо для пользователя, подключенного к нему напрямую, должнавключают следующие разрешения:

• AmazonEC2FullAccess - для объектов AWS и AWS VPN

• CloudWatchLogsFullAccess - для журналов AWS

Поскольку не идеально предоставлять кому-либо полный доступдоступ к Amazon EC2, знаете ли вы, какие функции на самом деле нужны SonicWall, чтобы я мог отключить все остальное и следовать принципу наименьших привилегий?

Answer 1

Не изучая код самого SonicWall, будет нелегко точно узнать, какие API-вызовы он собирается сделать в EC2. Если вы готовы хотя бы временно предоставить полный доступ к EC2, вы можете использовать AWS CloudTrail для точного отслеживания того, какие вызовы API выполняются пользователем IAM, связанным с вашим локальным сервером, а затем обновить свою специальную политику, чтобы соответствовать этим вызовам.

В качестве альтернативы, начните с шаблона политики полного доступа IAM, пройдите и отклоните все вызовы, которые, по вашему мнению, не связаны с функциональностью SonicWall.

Если вы доверяете SonicWall, то, вероятно, самое простое, что вам нужно сделать, это просто разрешить полный доступ к EC2, который, как он утверждает, требуется (или начать с него и постепенно удалять их, пока что-то не сломается!)