はじめに
Lightsailで、Wordpressのコンテンツ制作を外部の会社さんに委託するにあたって、AWS関連操作は読み取り専用だけど、ブラウザSSHは許可したい。
でも、Default Keyはダウンロードさせたくない。(変えるの大変だから、、、)
という事で、IAMポリシーを作ってみたら、ちょっとハマったのでメモ書きです。
IAMのGUIで認識されてないアクションがいる
"lightsail:GetSetupHistory"
API上は確かに存在するし、許可してあげないと、Lightsailの画面表示にエラーになるので、許可はしたい。。。
ブラウザSSHの拒否・許可って、なんてアクションだ?が分からない
こっちは解決。
GetInstanceAccessDetails
特定の仮想プライベート サーバーまたはインスタンスに接続するために使用できる一時的な SSH キーを返します 。(翻訳)
という事で、このアクションの許可・拒否を切り替えて、ブラウザSSHの利用可否を検証したところ、制御ができたので、このアクションだけは許可する必要がある、、、と。(フムフム)
まとめ
- IAMの警告が気になるなら、全許可した上で明示的に拒否
- IAMの警告を気にせず、許可したい物だけを明示的に許可
どちらかで対応する必要があるようです。(2024/03/06時点)
AWSの相談・お困りごとありましたら、、、
AWSの活用方法や、お困りごとの相談、随時、お仕事の受付しております。
AWSのLambda開発関連で、ライトな開発や、ちょっと、こんな事を自動化したい!等も、お気軽に問い合わせください。