amazon-ec2 - Ansible EC2 动态库存最低 IAM 策略

Question

是否有人找出通过 IAM 角色在 ansible 上运行 EC2 动态 list 脚本 (ec2.py) 所需的最低 IAM 策略？

到目前为止，除了在ansible的官方文档中指定boto库的凭据之外，我还没有看到这方面的具体引用资料，但是，在生产环境中，我很少使用 key 对从 EC2 实例访问 AWS 服务，相反，我在该案例场景中使用了 IAM 角色。

我尝试过允许 ec2:Describe* 操作的策略，但这对于脚本来说似乎还不够，因为它总是以未经授权的操作退出。

你能帮我一下吗？

Answer 1

该脚本还考虑了 RDS 和 elasticache。可以在 ec2.ini 中禁用它们，但如果您不这样做，以下策略似乎足以运行动态 list 。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Demo201505282045",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*",
                "route53:ListHostedZones",
                "route53:ListResourceRecordSets",
                "rds:Describe*",
                "elasticache:Describe*"
            ],
            "Resource": "*"
        }
    ]
}