使用 VPC 对等连接在 Amazon Lightsail 和其他 AWS 服务之间建立通信所需的最低 IAM 权限是什么?
我想使用 VPC 对等连接在 Amazon Lightsail 和其他 AWS 服务之间建立通信。建立通信所需的最低 Identity and Access Management(IAM)权限是多少?
解决方法
Amazon Lightsail 需要使用 VPC 对等连接以便连接到其他 AWS 资源,例如 Amazon Relational Database Service(Amazon RDS)数据库。除了 Lightsail 权限外,IAM 实体还需要特定 Amazon Elastic Compute Cloud(Amazon EC2)权限才能与 Lightsail 建立和创建 VPC 对等连接。
先决条件:要在 Lightsail 中设置 VPC 对等连接,您必须具有默认的 Amazon VPC。如果您没有默认的 Amazon VPC,则可以创建一个 VPC。要了解更多信息,请参阅创建默认 VPC。由于 AWS 区域彼此隔离,因此 VPC 也会在您创建它的区域中被隔离。您必须在拥有 Lightsail 资源的每个区域中设置 VPC 对等连接。
最佳做法是向 IAM 用户授予创建连接所需的最低权限。您只能在策略中指定必要的 Amazon EC2 操作。以下示例策略包括用于访问 EC2 终端节点、接受对等连接以及编辑现有路由表以适应此连接的操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DeleteNetworkInterfacePermission", "ec2:CreateNetworkInterfacePermission", "ec2:AcceptVpcPeeringConnection", "ec2:DescribeVpcs", "ec2:CreateRoute", "ec2:DescribeVpcPeeringConnections", "ec2:DeleteRoute", "ec2:ModifyVpcPeeringConnectionOptions", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "lightsail:*" ], "Resource": "*" } ] }
上述策略授予对 Amazon Lightsail(“lightsail:*”)的完全访问权限。如果您的 IAM 实体正在对 Amazon Lightsail 使用限制性策略(而不是“lightsail:*”),请确保包含“lightsail:PeerVpc”和“lightsail:UnpeerVpc”。在这种情况下,您可能无法使用 Amazon Lightsail 控制台执行对等连接操作。相反,您可以使用 PeerVpc 和 UnpeerVpc 等 AWS API 调用来设置对等连接。
以下是用于设置对等连接的 AWS Command Line Interface(AWS CLI)调用示例。
**注意:**如果在运行 AWS CLI 命令时遇到错误,请确保您使用的是最新版本的 AWS CLI。
创建 VPC 对等连接
aws lightsail peer-vpc --region regionName
检查 VPC 对等连接
aws lightsail is-vpc-peered --region regionName
删除 VPC 对等连接
aws lightsail unpeer-vpc --region regionName
将 regionName 替换为要添加 VPC 对等连接的正确区域。
**注意:**其他操作需要未包含在此策略中的其他权限。例如,将 Lightsail 快照导出到 Amazon EC2,或使用此 Lightsail VPC 对等连接访问其他 AWS 服务需要额外的权限。
相关内容
- AWS 官方已更新 3 个月前
- AWS 官方已更新 3 年前
- AWS 官方已更新 2 年前
- AWS 官方已更新 3 年前
