本文档将操作如何为 AWS 子账户(IAM 用户或角色)添加修改安全组的权限,包括 AuthorizeSecurityGroupIngress 和 RevokeSecurityGroupIngress 操作。
参考文档:
- AWS授权安全组文档:https://docs.aws.amazon.com/zh_cn/AWSEC2/latest/APIReference/API_AuthorizeSecurityGroupIngress.html
步骤 1:创建 IAM 策略
首先,您需要创建一个 IAM 策略,该策略将允许特定的安全组修改权限。
- 登录到 AWS 管理控制台。
- 在服务列表中,选择 “IAM”。
- 在左侧导航栏中,选择 “策略”。
- 点击 “创建策略”。
在策略编辑器中,切换到 JSON 选项卡并粘贴以下策略 JSON:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:AuthorizeSecurityGroupIngress",
"ec2:RevokeSecurityGroupIngress"
],
"Resource": "*"
}
]
}
AuthorizeSecurityGroupIngress 添加安全组规则
RevokeSecurityGroupIngress 删除安全组规则
- 点击 “检查策略” 以验证策略语法。
- 为策略命名,例如 “ModifySecurityGroupPolicy”。
- 点击 “创建策略”。
步骤 2:附加策略到子账户
接下来,您需要将刚刚创建的策略附加到子账户(IAM 用户或角色)。
附加策略到 IAM 用户
- 在 IAM 控制台中,选择 “用户”。
- 找到需要附加策略的用户并点击用户名。
- 在用户的权限选项卡中,点击 “添加权限”。
- 选择 “附加现有策略”,然后搜索并选择 “ModifySecurityGroupPolicy”。
- 点击 “下一步:检查”,然后点击 “添加权限”。
附加策略到 IAM 角色
- 在 IAM 控制台中,选择 “角色”。
- 找到需要附加策略的角色并点击角色名。
- 在角色的权限选项卡中,点击 “添加权限”。
- 选择 “附加现有策略”,然后搜索并选择 “ModifySecurityGroupPolicy”。
- 点击 “下一步:检查”,然后点击 “添加权限”。
步骤 3:验证权限
为了验证子账户是否具有正确的权限,您可以使用 AWS 管理控制台、AWS CLI 或 AWS SDK 执行以下操作:
验证使用 AWS 管理控制台
- 登录到 AWS 管理控制台,使用已授予权限的 IAM 用户或角色。
- 导航到 EC2 控制台。
- 尝试修改某个安全组的入站规则或出站规则。