Quelles sont les autorisations IAM minimales requises pour configurer la communication entre Amazon Lightsail et d'autres services AWS en utilisant l'appairage de VPC ?

Résolution

Amazon Lightsail exige une connexion d'appairage avec votre VPC pour se connecter à d'autres ressources AWS comme une base de données Amazon Relational Database Service (Amazon RDS). Outre les autorisations Lightsail, l'entité IAM exige certaines autorisations Amazon Elastic Compute Cloud (Amazon EC2) pour établir et créer une connexion d'appairage de VPC avec Lightsail.

Préalable : pour configurer l'appairage de VPC dans Lightsail, vous devez disposer d'un Amazon VPC par défaut. Si vous ne disposez pas d'Amazon VPC par défaut, vous pouvez en créer un. Pour en savoir plus, consultez la rubrique Créer un VPC par défaut. Les régions AWS étant isolées les unes des autres, le VPC sera également isolé dans la région où vous l'avez créé. Vous devez configurer l'appairage de VPC dans chaque région où vous disposez de ressources Lightsail.

Une bonne pratique consiste à accorder à l'utilisateur IAM les autorisations minimales nécessaires à la création de la connexion. Vous pouvez spécifier uniquement les actions Amazon EC2 requises dans la politique. L'exemple de politique suivante inclut des actions d'accès au point de terminaison EC2, d'acceptation des connexions d'appairage et de modification de la table de routage existante pour prendre en charge cette connexion.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

La politique précédente donne un accès complet à Amazon Lightsail (« lightsail :* »). Si votre entité IAM utilise une politique restrictive pour Amazon Lightsail (et non « lightsail :* »), veillez à inclure « Lightsail:PeerVPC » et « Lightsail:UnpeerVPC ». Dans ce cas, il se peut que vous ne puissiez pas utiliser la console Amazon Lightsail pour effectuer les actions d'appairage. Par contre, vous pouvez utiliser des appels d'API AWS comme PeerVPC et UnPeerVPC pour configurer la connexion d'appairage.

Vous trouverez ci-dessous des exemples d'appels AWS Command Line Interface (AWS CLI) pour configurer la connexion d'appairage.

Remarque : en cas d'erreurs lors de l'exécution des commandes depuis AWS CLI, assurez-vous d'utiliser la version la plus récente.

Créer une connexion d'appairage de VPC

aws lightsail peer-vpc --region regionName

Vérifier la connexion d'appairage de VPC

aws lightsail is-vpc-peered --region regionName

Annuler la connexion d'appairage de VPC

aws lightsail unpeer-vpc --region regionName

Remplacez RegionName par la région pertinente dans laquelle vous souhaitez ajouter l'appairage de VPC.

Remarque : d'autres actions nécessitent des autorisations supplémentaires qui ne sont pas incluses dans cette politique. Par exemple, l'exportation d'instantané Lightsail vers Amazon EC2 ou l'accès à d'autres services AWS à l'aide de cette connexion d'appairage de VPC Lightsail nécessitent des autorisations supplémentaires.