Chính sách IAM tối thiểu của hàng tồn kho động Ansible EC2

Question

Có ai đó đã tìm ra các chính sách IAM tối thiểu cần thiết để chạy tập lệnh khoảng không quảng cáo động EC2 (ec2.py) trên ansible qua vai trò IAM?

Cho đến nay, tôi chưa thấy một tham chiếu cụ thể trong vấn đề này ngoài việc chỉ định thông tin đăng nhập cho thư viện chính thức về ansible, tuy nhiên, trên môi trường sản xuất, tôi hiếm khi sử dụng cặp khóa để truy cập vào dịch vụ AWS từ EC2 trường hợp, thay vào đó tôi đã chấp nhận việc sử dụng các vai trò IAM cho kịch bản trường hợp đó.

Tôi đã thử các chính sách cho phép ec2:Describe* hành động nhưng dường như không đủ cho tập lệnh vì nó luôn xuất hiện với Unauthorized operation.

Bạn có thể giúp tôi không?

Answer 1

Tôi vừa tạo chính sách bản trình diễn, tạo vai trò mới và sử dụng chính sách mới đó, sau đó tạo một cá thể mới sử dụng vai trò mới đó.

Demo chính sách:

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Demo201505282045", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:Describe*", 
       "route53:ListHostedZones", 
       "route53:ListResourceRecordSets" 
      ], 
      "Resource": "*" 
     } 
    ] 
} 

tôi đã có thêm route53 như tôi sử dụng tùy chọn route53 (route53 = true trong ec2.ini) nhưng khác hơn là nó làm việc tốt.

Nếu bạn vẫn gặp sự cố, hãy thử chạy ec2.py từ dòng lệnh (./ec2.py) vì điều đó thường cung cấp thông báo lỗi hợp lý khi chạy trực tiếp.

Answer 2

Tập lệnh cũng xem xét RDS và tính đàn hồi. Chúng có thể bị tắt trong ec2.ini, nhưng nếu bạn không làm như vậy, chính sách sau có vẻ đủ để chạy khoảng không quảng cáo động.

 
{ 
    "Version": "2012-10-17", 
    "Statement": [ 
     { 
      "Sid": "Demo201505282045", 
      "Effect": "Allow", 
      "Action": [ 
       "ec2:Describe*", 
       "route53:ListHostedZones", 
       "route53:ListResourceRecordSets", 
       "rds:Describe*", 
       "elasticache:Describe*" 
      ], 
      "Resource": "*" 
     } 
    ] 
}