Ao usar o AWS re:Post, você concorda com os AWS re:Post Termos de uso
AWS re:Postre:Post

Quais são as permissões mínimas do IAM necessárias para configurar a comunicação entre o Amazon Lightsail e outros serviços da AWS usando emparelhamento da VPC?

3 minuto de leitura
0

Quero configurar a comunicação entre o Amazon Lightsail e outros serviços da AWS usando o emparelhamento da VPC. Quais são as permissões mínimas do Identity and Access Management (IAM) necessárias para fazer isso?

Resolução

O Amazon Lightsail requer uma conexão de emparelhamento com sua VPC para se conectar a outros recursos da AWS, como bancos de dados do Amazon Relational Database Service (Amazon RDS). Juntamente com as permissões do Lightsail, a entidade do IAM exige certas permissões do Amazon Elastic Compute Cloud (Amazon EC2) para estabelecer e criar uma conexão de emparelhamento da VPC com o Lightsail.

Pré-requisito: para configurar o emparelhamento da VPC no Lightsail, é necessário ter uma Amazon VPC padrão. Se não tiver uma Amazon VPC padrão, você poderá criar uma. Para saber mais, consulte Criar uma VPC padrão. Como as regiões da AWS são isoladas umas das outras, uma VPC também é isolada na região em que você a criou. Você deve configurar o emparelhamento da VPC em cada região em que tem recursos do Lightsail.

É prática recomendada conceder ao usuário do IAM as permissões mínimas necessárias para criar a conexão. Você pode especificar somente as ações necessárias do Amazon EC2 dentro da política. O exemplo de política a seguir inclui ações para acessar o endpoint do EC2, aceitar conexões de emparelhamento e editar a tabela de rotas existente para acomodar essa conexão.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

A política anterior concede acesso total ao Amazon Lightsail ("lightsail:*"). Se sua entidade do IAM estiver usando uma política restritiva para o Amazon Lightsail (não "lightsail:*"), inclua "lightsail:PeerVPC" e "lightsail:UnpeerVPC". Nesse caso, talvez você não consiga usar o console do Amazon Lightsail para executar as ações de emparelhamento. Em vez disso, você pode usar chamadas de API da AWS, como PeerVpc e UnpeerVpc para configurar a conexão de emparelhamento.

Veja a seguir exemplos de chamadas da AWS Command Line Interface (AWS CLI) para configurar a conexão de emparelhamento.

Observação: se você receber erros ao executar comandos da AWS CLI, certifique-se de usar a versão mais recente da AWS CLI.

Criar conexão de emparelhamento da VPC

aws lightsail peer-vpc --region regionName

Verificar conexão de emparelhamento da VPC

aws lightsail is-vpc-peered --region regionName

Excluir conexão de emparelhamento da VPC

aws lightsail unpeer-vpc --region regionName

Substitua regionName pela região correta em que deseja adicionar o emparelhamento da VPC.

Observação: outras ações exigem permissões adicionais não incluídas nesta política. Por exemplo, exportar snapshots do Lightsail para o Amazon EC2 ou acessar outros serviços da AWS usando essa conexão de emparelhamento da VPC do Lightsail exige permissões adicionais.

Tópicos
Computação
Tags
Amazon Lightsail
Idioma
Português
AWS OFICIAL
AWS OFICIALAtualizada há 3 anos

Conteúdo relevante