LoginSignup
3
0

More than 3 years have passed since last update.

@antyuntyuntyun(antyuntyun)

【AWS IAM】SecurityGroupでのポリシー設定の落とし穴

Last updated at Posted at 2019-09-10

下記ポリシーはSecurityGroupへのルール追加・編集ができるように見えると思います。
がしかし、セキュリティグループを追加・編集できないパターンがあります。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:DescribeSecurityGroups",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:RevokeSecurityGroupIngress",
        "ec2:RevokeSecurityGroupEgress"
        "ec2:AuthorizeSecurityGroupIngress",
        "ec2:AuthorizeSecurityGroupEgress",
      ],
      "Resource": "arn:aws:ec2:*:*:security-group/*"
    }
  ]
}

反例

実は上記ポリシー設定だと、タイプ・プロトコル・ポート範囲・ソースが一致し、説明内の文字列が異なるルールは定義できません。
既存ルールについて編集し上記条件のものを定義しようとしてしまうと、ルール自体が削除されてしまうので気を付けてください。
PowerUserAccess以上の権限ある場合は、上書きされる挙動になります。

参考:
ec2 Actionエレメント一覧

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0