是否有人找出通过 IAM 角色在 ansible 上运行 EC2 动态 list 脚本 (ec2.py
) 所需的最低 IAM 策略?
到目前为止,除了在ansible的官方文档中指定boto库的凭据之外,我还没有看到这方面的具体引用资料,但是,在生产环境中,我很少使用 key 对从 EC2 实例访问 AWS 服务,相反,我在该案例场景中使用了 IAM 角色。
我尝试过允许 ec2:Describe*
操作的策略,但这对于脚本来说似乎还不够,因为它总是以未经授权的操作
退出。
你能帮我一下吗?
最佳答案
该脚本还考虑了 RDS 和 elasticache。可以在 ec2.ini 中禁用它们,但如果您不这样做,以下策略似乎足以运行动态 list 。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "Demo201505282045", "Effect": "Allow", "Action": [ "ec2:Describe*", "route53:ListHostedZones", "route53:ListResourceRecordSets", "rds:Describe*", "elasticache:Describe*" ], "Resource": "*" } ] }
关于amazon-ec2 - Ansible EC2 动态库存最低 IAM 策略,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30519470/