使用 VPC 對等互連在 Amazon Lightsail 與其他 AWS 服務之間設定通訊所需的最低 IAM 許可是什麼?

1 分的閱讀內容
0

我想使用 VPC 對等互連設定 Amazon Lightsail 與其他 AWS 服務之間的通訊。需要哪些最低 Identity and Access Management (IAM) 許可才能執行此操作?

解決方案

Amazon Lightsail 需要與您的 VPC 進行對等互連,才能連線至其他 AWS 資源,例如 Amazon Relational Database Service (Amazon RDS) 資料庫。除了 Lightsail 許可,IAM 實體還需要特定 Amazon Elastic Compute Cloud (Amazon EC2) 許可,才能建立與 Lightsail 的 VPC 對等互連。

先決條件:若要在 Lightsail 中設定 VPC 對等互連,必須擁有預設 Amazon VPC。如果您沒有預設 Amazon VPC,則可以建立一個。若要進一步了解,請參閱建立預設 VPC。由於 AWS 區域彼此隔離,因此 VPC 還會在您建立的區域中隔離。您必須在擁有 Lightsail 資源的每個區域設定 VPC 對等互連。

最佳實務是授予 IAM 使用者建立連線所需的最低許可。您只能在政策中指定必要的 Amazon EC2 動作。下列範例政策包括存取 EC2 端點、接受對等互連連線,以及編輯現有路由表以容納此連線等動作。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

上述政策可完全存取 Amazon Lightsail ("lightsail:*")。如果您的 IAM 實體針對 Amazon Lightsail 使用限制性政策 (而不是 "lightsail:*"),請確定包含 "lightsail:PeerVpc" 和 "lightsail:UnpeerVpc"。在此情況下,您可能無法使用 Amazon Lightsail 主控台來執行對等互連動作。而您可以使用 AWS API 呼叫 (例如 PeerVpcUnpeerVpc) 來設定對等互連連線。

以下是設定對等互連連線的 AWS Command Line Interface (AWS CLI) 呼叫範例。

**注意:**如果您在執行 AWS CLI 命令時收到錯誤,請確保您使用的是最新版 AWS CLI

建立 VPC 對等互連連線

aws lightsail peer-vpc --region regionName

檢查 VPC 對等互連連線

aws lightsail is-vpc-peered --region regionName

刪除 VPC 對等互連連線

aws lightsail unpeer-vpc --region regionName

regionName 取代為您要新增 VPC 對等互連的正確區域。

**注意:**其他動作需要未包含在此政策中的其他許可。例如,將 Lightsail 快照匯出至 Amazon EC2,或使用此 Lightsail VPC 對等互連連線存取其他 AWS 服務需要額外的許可。


AWS 官方
AWS 官方已更新 3 年前