Welche IAM-Berechtigungen sind mindestens erforderlich, um die Kommunikation zwischen Amazon Lightsail und anderen AWS-Services über VPC-Peering einzurichten?
Ich möchte die Kommunikation zwischen Amazon Lightsail und anderen AWS-Services mithilfe von VPC-Peering einrichten. Was sind die Mindestberechtigungen für Identity and Access Management (IAM), die ich dafür benötige?
Auflösung
Amazon Lightsail erfordert eine Peering-Verbindung mit Ihrer VPC, um eine Verbindung zu anderen AWS-Ressourcen wie Amazon Relational Database Service (Amazon RDS) -Datenbanken herzustellen. Zusammen mit Lightsail-Berechtigungen benötigt die IAM-Entität bestimmte Amazon Elastic Compute Cloud (Amazon EC2)-Berechtigungen, um eine VPC-Peering-Verbindung mit Lightsail herzustellen und herzustellen.
Voraussetzung: Um VPC-Peering in Lightsail einzurichten, benötigen Sie eine standardmäßige Amazon VPC. Wenn Sie keine standardmäßige Amazon VPC haben, können Sie eine erstellen. Weitere Informationen finden Sie unter Erstellen einer Standard-VPC. Da AWS-Regionen voneinander isoliert sind, ist eine VPC auch in der Region isoliert, in der Sie sie erstellt haben. Sie müssen VPC-Peering in jeder Region einrichten, in der Sie über Lightsail-Ressourcen verfügen.
Es empfiehlt sich, dem IAM-Benutzer die Mindestberechtigungen zu erteilen, die zum Erstellen der Verbindung erforderlich sind. Sie können nur die erforderlichen Amazon EC2-Aktionen innerhalb der Richtlinie angeben. Die folgende Beispielrichtlinie enthält Aktionen für den Zugriff auf den EC2-Endpunkt, das Akzeptieren von Peering-Verbindungen und das Bearbeiten der vorhandenen Routing-Tabelle, um diese Verbindung aufzunehmen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterfacePermission", "ec2:CreateNetworkInterfacePermission", "ec2:AcceptVpcPeeringConnection", "ec2:DescribeVpcs", "ec2:CreateRoute", "ec2:DescribeVpcPeeringConnections", "ec2:DeleteRoute", "ec2:ModifyVpcPeeringConnectionOptions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "lightsail:*" ], "Resource": "*" } ] }
Die vorstehende Richtlinie gewährt vollen Zugriff auf Amazon Lightsail (“ lightsail:*“). Wenn Ihre IAM-Entität eine restriktive Richtlinie für Amazon Lightsail verwendet (nicht "lightsail:*“), stellen Sie sicher, dass Sie" LightSail:PeerVPC "und" Lightsail: UnpeerVPC“ einschließen. In diesem Fall können Sie die Amazon Lightsail-Konsole möglicherweise nicht verwenden, um die Peering-Aktionen durchzuführen. Stattdessen können Sie AWS-API-Aufrufe wie PeerVPC und UnpeerVPC verwenden, um die Peering-Verbindung einzurichten.
Im Folgenden finden Sie Beispiele für AWS Command Line Interface (AWS CLI) -Aufrufe zum Einrichten der Peering-Verbindung.
Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.
Erstellen einer VPC-Peering-Verbindung
aws lightsail peer-vpc --region regionName
Überprüfen Sie die VPC-Peering-Verbindung
aws lightsail is-vpc-peered --region regionName
Löschen Sie die VPC-Peering-Verbindung
aws lightsail unpeer-vpc --region regionName
Ersetzen Sie RegionName durch die richtige Region, in der Sie das VPC-Peering hinzufügen möchten.
Hinweis: Andere Aktionen erfordern zusätzliche Berechtigungen, die nicht in dieser Richtlinie enthalten sind. Beispielsweise sind für den Export von Lightsail-Snapshots nach Amazon EC2 oder der Zugriff auf andere AWS-Services über diese Lightsail VPC-Peering-Verbindung zusätzliche Berechtigungen erforderlich.
Relevanter Inhalt
- AWS OFFICIALAktualisiert vor 9 Monaten
- AWS OFFICIALAktualisiert vor einem Jahr
- AWS OFFICIALAktualisiert vor 6 Monaten
- AWS OFFICIALAktualisiert vor 9 Monaten