在为salt-cloud创建IAM用户时,要赋予该用户的最小权限是多少,才能使其按照最小权限原则完成工作?
我只需要创建EC2实例,使用一个地图文件:但是我不知道足够的盐云来确定它执行的实际操作。
如果存在的话,我更愿意使用预定义的策略。
我自己也很好奇,所以看了看盐云源(salt/cloud/clouds/ec2.py)。有趣的是,他们不使用boto库来调用AWS,而是选择自己雕刻请求,并且他们这样做的方式使得提取您需要拥有权限的操作非常容易。
这一行代码取出所有操作
grep "'Action':" cloud/clouds/ec2.py | awk '{print $4;}' | sed "s/[},']//g" | sort | uniq
正如你所看到的,它是所有可用EC2权限的一个相当大的子集。
AllocateAddress
AssociateAddress
AttachVolume
CancelSpotInstanceRequests
CopySnapshot
CreateKeyPair
CreateSnapshot
CreateTags
CreateVolume
DeleteKeyPair
DeleteSnapshot
DeleteTags
DeleteVolume
DescribeAvailabilityZones
DescribeImages
DescribeInstanceAttribute
DescribeInstanceTypes
DescribeInstances
DescribeKeyPairs
DescribeRegions
DescribeSnapshots
DescribeSpotInstanceRequests
DescribeSubnets
DescribeTags
DescribeVolumes
DescribeZones
DetachVolume
GetConsoleOutput
GetPasswordData
ImportKeyPair
ModifyInstanceAttribute
ModifyNetworkInterfaceAttribute
RebootInstance
RebootInstances
RegisterImage
RequestSpotInstances
RunInstances
StartInstance
StartInstances
StopInstances
TerminateInstances
当然,您可以使用salt为您创建一个IAM配置文件;)