什麼是正確的IAM策略，允許用戶在VPC安全組中添加入口/出口規則

Question

我已經嘗試過這種方法，但它在IAM策略模擬器上失敗。
從AWS文檔獲得此策略。

{ 
"Version": "2012-10-17", 
    "Statement":[{ 
    "Effect":"Allow", 
    "Action": [ 
     "ec2:AuthorizeSecurityGroupIngress", 
     "ec2:AuthorizeSecurityGroupEgress", 
     "ec2:RevokeSecurityGroupIngress", 
     "ec2:RevokeSecurityGroupEgress"], 
    "Resource": "arn:aws:ec2:us-east-1:Account-Number:security-group/*", 
     "Condition": { 
     "StringEquals": { 
      "ec2:Vpc": "arn:aws:ec2:us-east-1:Account-Number:vpc/vpc-id" 
     } 
     } 
    }, 
    { 
     "Effect": "Allow", 
     "Action": "ec2:DescribeSecurityGroups", 
     "Resource": "*" 
    } 
    ] 
} 

Answer 1

我已經成功地通過了IAM Policy Simulator測試引用IAM policy - 策略模擬器可以說是相當挑剔/棘手，雖然和我花了一些嘗試得到它的權利爲好，這裏是給看出來的：

1. 很明顯，你需要從您的AWS帳號的實際值替換帳戶-數和VPC-ID的政策 - 想必你已經進行了。
2. 既然你已經創建了一個政策，針對特定資源arn:aws:ec2:us-east-1:Account-Number:security-group/*，你需要確保也進入相同Amazon Resource Name (ARN)作爲仿真設置爲的Resource價值。
3. 同樣，既然你已經創建了一個政策，具體Condition，模擬器要求爲在模擬設置的ec2:Vpc狀態鍵輸入一個值 - 你需要確保輸入完整的ARN作爲值而不是在這裏只是VPC ID本身，即類似arn:aws:ec2:us-east-1:Account-Number:vpc/vpc-12345678而不僅僅是vpc-12345678！

Answer 2

感謝您的回覆。 我想我在模擬器上做錯了什麼，因爲我在CLI上運行了一個命令，並且它按照這個策略的預期工作。 我試圖更新這個問題，但由於我是新來這個論壇，我不得不等待8個小時來回答我自己的問題。