Политика AWS IAM с наименьшими привилегиями для Foreman / RH Satellite для полного управления вычислительным ресурсом EC2

Первый пост, поэтому я заранее извиняюсь, если пропущу некоторые соглашения.

Я пытаюсь найти наименее привилегированный доступ, необходимый для Foreman/RH Satellite, чтобы иметь возможность полностью управлять вычислительным ресурсом EC2 с полной функциональностью. До сих пор я был успешным со следующей политикой:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1452211947000",
            "Effect": "Allow",
            "Action": [
                "apigateway:*"
            ],
            "Resource": [
                "arn:aws:apigateway:*::/*"
            ]
        },
        {
            "Sid": "Stmt1452212146000",
            "Effect": "Allow",
            "Action": [
                "execute-api:*"
            ],
            "Resource": [
                "arn:aws:execute-api:*:*:*"
            ]
        },
        {
            "Sid": "Stmt1452212199000",
            "Effect": "Allow",
            "Action": [
                "ec2:*",
                "cloudwatch:*",
                "autoscaling:*",
                "elasticloadbalancing:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Тем не менее, я провел только небольшое количество испытаний, и могут быть ограниченные разрешения для расширенных функций Foreman/Satellite, с которыми мне еще предстоит столкнуться.

Итак, у меня есть два вопроса:

  1. Существуют ли какие-либо разрешения, которые требуются Foreman/RH Satellite для правильного и полного управления ресурсами EC2, которых нет в этой политике?
  2. Есть ли какая-то часть этой политики, которая является лишней, так что Foreman/Satellite никогда не будет ее использовать?

Справочная информация, если уместно: у нас есть сервер RH Satellite, который управляет большим количеством наших локальных серверов. AWS движется как грузовой поезд, потому что это забавное модное слово для высшего руководства, которое очень мало понимает и контролирует всю нашу среду. Я работал над настройкой подключения к вычислительным ресурсам EC2, чтобы мы могли управлять экземплярами EC2 для нескольких изолированных учетных записей AWS, что означает создание пользователя IAM для каждой учетной записи AWS для доступа к экземплярам этой учетной записи EC2 из Satellite. До сих пор мы получили сопротивление от нашего отдела информационной безопасности, потому что они хотят знать наименьшие привилегии, необходимые для этого доступа, прежде чем они дадут ему все в порядке.

Я искал документацию в течение нескольких недель безуспешно, и мой Google-фу подвел меня. Я также открыл дело с Red Hat, и я был разочарован тем, что единственный реальный ответ, который я получил, был: "проверьте эти порты на брандмауэре".

Источник

0 ответов

Другие вопросы по тегам