首先,如果我错过了一些约定,我提前道歉。
我试图发现Foreman / RH Satellite所需的最小特权访问权限,能够完全pipe理具有全部function的EC2计算资源。 到目前为止,我已经取得了以下政策的成功:
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1452211947000", "Effect": "Allow", "Action": [ "apigateway:*" ], "Resource": [ "arn:aws:apigateway:*::/*" ] }, { "Sid": "Stmt1452212146000", "Effect": "Allow", "Action": [ "execute-api:*" ], "Resource": [ "arn:aws:execute-api:*:*:*" ] }, { "Sid": "Stmt1452212199000", "Effect": "Allow", "Action": [ "ec2:*", "cloudwatch:*", "autoscaling:*", "elasticloadbalancing:*" ], "Resource": [ "*" ] } ] } 但是,我只做了less量的testing,而且可能会有先进的Foreman / Satellitefunction的有限权限,但我尚未运行。
所以,我有两个问题:
背景,如果相关的话:我们有一台RH Satellite服务器,pipe理着大量的现场服务器。 AWS正在像货运列车一样滚滚而来,因为对高层pipe理人员来说,这是一个有趣的话,他们对我们整个环境的理解和控制都很less。 我一直在努力获得EC2计算资源连接的设置,以便我们可以跨多个孤立的AWS账户pipe理EC2实例,这意味着要在每个AWS账户上创build一个IAM用户,以便从Satellite访问该账户的EC2实例。 到目前为止,我们已经得到了我们的IT安全部门的阻力,因为他们想知道这个访问所需的最小特权,然后他们会给出这个权限。
我search了几个星期没有成功的文档,而我的Google-fu已经让我失望了。 我还打开了红帽的一个案例,我对我收到的唯一真实的回应是“检查防火墙上的这些端口”感到失望。