下記ポリシーはSecurityGroupへのルール追加・編集ができるように見えると思います。
がしかし、セキュリティグループを追加・編集できないパターンがあります。
{
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:DescribeSecurityGroups",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:RevokeSecurityGroupIngress",
"ec2:RevokeSecurityGroupEgress"
"ec2:AuthorizeSecurityGroupIngress",
"ec2:AuthorizeSecurityGroupEgress",
],
"Resource": "arn:aws:ec2:*:*:security-group/*"
}
]
}
反例
実は上記ポリシー設定だと、タイプ・プロトコル・ポート範囲・ソースが一致し、説明内の文字列が異なるルールは定義できません。
既存ルールについて編集し上記条件のものを定義しようとしてしまうと、ルール自体が削除されてしまうので気を付けてください。
PowerUserAccess以上の権限ある場合は、上書きされる挙動になります。