¿Cuáles son los permisos mínimos de IAM necesarios para configurar la comunicación entre Amazon Lightsail y otros servicios de AWS mediante la interconexión de VPC?

Resolución

Amazon Lightsail requiere unainterconexión con la VPC para conectarse a otros recursos de AWS, como las bases de datos de Amazon Relational Database Service (Amazon RDS). Además de los permisos de Lightsail, la entidad de IAM requiere ciertos permisos de Amazon Elastic Compute Cloud (Amazon EC2) para establecer y crear una interconexión de VPC con Lightsail.

Requisito previo: para configurar la interconexión de VPC en Lightsail, debe tener una Amazon VPC predeterminada. Si no cuenta con una Amazon VPC predeterminada, puede crear una. Para obtener más información, consulte Crear una VPC predeterminada. Dado que las regiones de AWS están aisladas entre sí, una VPC también está aislada en la región en la que se ha creado. Debe configurar la interconexión de VPC en cada región donde tenga recursos de Lightsail.

Es una práctica recomendada conceder al usuario de IAM los permisos mínimos necesarios para crear la conexión. Puede especificar únicamente las acciones necesarias de Amazon EC2 dentro de la política. La siguiente política de ejemplo incluye acciones para acceder al punto de enlace de EC2, aceptar interconexiones y editar la tabla de enrutamiento existente para acomodar esta conexión.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

La política anterior concede acceso completo a Amazon Lightsail (“lightsail:*”). Si la entidad de IAM utiliza una política restrictiva para Amazon Lightsail, (no “lightsail:*”), asegúrese de incluir “lightsail:PeerVpc” y “lightsail:UnpeerVpc”. En este caso, es posible que no se pueda utilizar la consola de Amazon Lightsail para realizar las acciones de interconexión. En su lugar, puede utilizar las llamadas a la API de AWS, como PeerVpc y UnpeerVpc para configurar la interconexión.

Los siguientes son ejemplos de llamadas de AWS Command Line Interface (AWS CLI) para configurar la interconexión.

Nota: Si recibe errores al ejecutar comandos de AWS CLI, asegúrese de que utiliza la versión más reciente de AWS CLI.

Crear una interconexión de VPC

aws lightsail peer-vpc --region regionName

Verificar la interconexión de VPC

aws lightsail is-vpc-peered --region regionName

Eliminar la interconexión de VPC

aws lightsail unpeer-vpc --region regionName

Sustituya regionName por la región correcta en la que desea agregar la interconexión de VPC.

Nota: Otras acciones requieren permisos adicionales no incluidos en esta política. Por ejemplo, exportar instantáneas de Lightsail a Amazon EC2, u obtener acceso a otros servicios de AWS mediante esta interconexión de VPC de Lightsail requiere permisos adicionales.