Welche IAM-Berechtigungen sind mindestens erforderlich, um die Kommunikation zwischen Amazon Lightsail und anderen AWS-Services über VPC-Peering einzurichten?

Auflösung

Amazon Lightsail erfordert eine Peering-Verbindung mit Ihrer VPC, um eine Verbindung zu anderen AWS-Ressourcen wie Amazon Relational Database Service (Amazon RDS) -Datenbanken herzustellen. Zusammen mit Lightsail-Berechtigungen benötigt die IAM-Entität bestimmte Amazon Elastic Compute Cloud (Amazon EC2)-Berechtigungen, um eine VPC-Peering-Verbindung mit Lightsail herzustellen und herzustellen.

Voraussetzung: Um VPC-Peering in Lightsail einzurichten, benötigen Sie eine standardmäßige Amazon VPC. Wenn Sie keine standardmäßige Amazon VPC haben, können Sie eine erstellen. Weitere Informationen finden Sie unter Erstellen einer Standard-VPC. Da AWS-Regionen voneinander isoliert sind, ist eine VPC auch in der Region isoliert, in der Sie sie erstellt haben. Sie müssen VPC-Peering in jeder Region einrichten, in der Sie über Lightsail-Ressourcen verfügen.

Es empfiehlt sich, dem IAM-Benutzer die Mindestberechtigungen zu erteilen, die zum Erstellen der Verbindung erforderlich sind. Sie können nur die erforderlichen Amazon EC2-Aktionen innerhalb der Richtlinie angeben. Die folgende Beispielrichtlinie enthält Aktionen für den Zugriff auf den EC2-Endpunkt, das Akzeptieren von Peering-Verbindungen und das Bearbeiten der vorhandenen Routing-Tabelle, um diese Verbindung aufzunehmen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

Die vorstehende Richtlinie gewährt vollen Zugriff auf Amazon Lightsail (“ lightsail:*“). Wenn Ihre IAM-Entität eine restriktive Richtlinie für Amazon Lightsail verwendet (nicht "lightsail:*“), stellen Sie sicher, dass Sie" LightSail:PeerVPC "und" Lightsail: UnpeerVPC“ einschließen. In diesem Fall können Sie die Amazon Lightsail-Konsole möglicherweise nicht verwenden, um die Peering-Aktionen durchzuführen. Stattdessen können Sie AWS-API-Aufrufe wie PeerVPC und UnpeerVPC verwenden, um die Peering-Verbindung einzurichten.

Im Folgenden finden Sie Beispiele für AWS Command Line Interface (AWS CLI) -Aufrufe zum Einrichten der Peering-Verbindung.

Hinweis: Wenn Sie beim Ausführen von AWS-CLI-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste Version der AWS CLI verwenden.

Erstellen einer VPC-Peering-Verbindung

aws lightsail peer-vpc --region regionName

Überprüfen Sie die VPC-Peering-Verbindung

aws lightsail is-vpc-peered --region regionName

Löschen Sie die VPC-Peering-Verbindung

aws lightsail unpeer-vpc --region regionName

Ersetzen Sie RegionName durch die richtige Region, in der Sie das VPC-Peering hinzufügen möchten.

Hinweis: Andere Aktionen erfordern zusätzliche Berechtigungen, die nicht in dieser Richtlinie enthalten sind. Beispielsweise sind für den Export von Lightsail-Snapshots nach Amazon EC2 oder der Zugriff auf andere AWS-Services über diese Lightsail VPC-Peering-Verbindung zusätzliche Berechtigungen erforderlich.