Uzman sorusu - bende ugrasıyorum yardımlarınızı bekliyorum

aws-soru

(emre) #1

Merhabalar ,

Aws ıam kısmında yeni birşeylere bakıyorum. Şöyle bir konu var.

A userı sadece tag key 'i B olan instanceleri görebilecek.
Bu gördügü makineleri açıp , kapatıp , security grup tanımlayabilecek sadece terminate edemeyecek .
B tagindaki haric hic bir makineyi göremeyecek.

yardımlarınızı bekliyorum . Gerekli policy için bende bakıyorum sizlerdende haber bekliyor olacagım teşekkürler


(Hakan) #2

Merhaba,

Özet olarak:

IAM > Kullanıcı Oluştur
IAM Policies > Policy oluştur (Buranın detayı aşağıda)
IAM Users > Oluşturulan Policy kullanıcıya ata

Burada dikkat edilmesi gereken kısım gereksiz yetkilerin atanmaması. Dolayısıyla sadece terminate edemeyecek dediğiniz yetkilerin dışında 100 adetten fazla yetki söz konusu, dolayısıyla kullanmasını istediğini yetkileri seçmeniz gerekiyor. Ben örnekleme için bir kaç tane write yetkisi tanımladım sadece.

Oluşturduğunuz policyleri, mevcut kullanıcılarınız ve instancelarınız üzerinde test etmek için kullanabileceğiniz güzel bir araç var, tavsiye ederim.

https://policysim.aws.amazon.com/home/index.jsp?#

{
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “VisualEditor0”,
“Effect”: “Allow”,
“Action”: [
“ec2:RevokeSecurityGroupIngress”,
“ec2:UpdateSecurityGroupRuleDescriptionsEgress”,
“ec2:StartInstances”,
“ec2:RevokeSecurityGroupEgress”,
“ec2:StopInstances”,
“ec2:UpdateSecurityGroupRuleDescriptionsIngress”
],
“Resource”: [
“arn:aws:ec2:::security-group/",
"arn:aws:ec2:us.east-1:111111111:instance/

],
“Condition”: {
“StringEquals”: {
“aws:RequestTag/InstanceType”: “B”
}
}
}
]
}

ARN Kısımları kullandığınız hesap ve region ve security group bilgileriyle değiştirilmeli.


(Barış Bilen Vural) #3

Emre Selamlar,

Arkadaşlara ek olarak bir eklemede ben yapayım,

Diyelimki Emre kullanıcımız var ve EC2 Makinelerini Owner = Emre olarak tagledik. Bu durumda istediğini yapabilmek için şu Policy’i yaratıp Emre kullanıcısına eklememiz yeterli olacaktır.

{
“Version”: “2012-10-17”,
“Statement”: [
{
“Effect”: “Allow”,
“Action”: [
“ec2:StartInstances”,
“ec2:StopInstances”,
“ec2:DescribeInstances”
],
“Resource”: “arn:aws:ec2:::instance/*”,
“Condition”: {
“StringEquals”: {“ec2:ResourceTag/Owner”: “Emre”}
}
}
]
}


(emre) #4

Hocalarım tekrardan merhabalar ,

yogunluktan dolayı cevap veremedim. hocam iki çözüm önerisinide yaptım işe yaramadı. Ben yapmak istedigimi ekran görüntüleri ile daha net anlatmak istiyorum .

1.) bütün instanceleri gördügüm admin hesapta 1 tane instancenin keyname = emre value= emre1 yaptım
aws1aws2

2.) admin hesaptan emre isimli user oluşturdum > AMI Kısmından
3.) baris beyin yazıdıgı çözüme istinaden bir tane policy uyguladım ve user 'a attach ettim policy aşagıdaki gibidir ,
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “VisualEditor0”,
“Effect”: “Allow”,
“Action”: [
“ec2:StartInstances”,
“ec2:StopInstances”,
“ec2:DescribeInstances”
],
“Resource”: “arn:aws:ec2:::instance/*”,
“Condition”: {
“StringEquals”: {
“ec2:ResourceTag/Owner”: “emre”
}
}
}
]
}

emre useri ile giriş yaptıgımda ise ekran görüntüsündeki gibi boş instancelar gelmiyor ve Nam e kısmı olmamalı emre yazmalı o kısımda ;


umarım anlatabilmişimdir


(emre) #6

denedim olmadı hocam. emre user’ına girdigimde tag olarak sadece Name gözüküyor burda bir sorun yasıyor olabilir miyim ?


(Umur Coşkuncan) #5

Key name: Owner
Value: Emre

Olarak dene :slight_smile:


(Umur Coşkuncan) #7

Öyle gözükmesi normal, IAM policy sadece izinlerle ilgili bir şey, ek olarak o izinlerin geçerli olacağı EC2 resourcelarını taglemen lazım “Owner: Emre” diye. Yani policye yazdın diye kolonlar kısmında görmezsin Key’i.