Quali sono le autorizzazioni minime di IAM necessarie a configurare la comunicazione tra Amazon Lightsail e altri servizi AWS utilizzando il peering VPC?

Risoluzione

Amazon Lightsail richiede una connessione peering con il tuo VPC per connettersi ad altre risorse AWS, ad esempio un database Amazon Relational Database Service (Amazon RDS). Oltre alle autorizzazioni Lightsail, l'entità IAM richiede alcune autorizzazioni Amazon Elastic Compute Cloud (Amazon EC2) per stabilire e creare una connessione peering VPC con Lightsail.

Prerequisito: per configurare il peering VPC in Lightsail, è necessario disporre di un Amazon VPC di default. Se non disponi di un Amazon VPC di default, puoi crearne uno. Per ulteriori informazioni, consulta Creare un VPC di default. Poiché le regioni AWS sono isolate l'una dall'altra, un VPC è isolato anche nella regione in cui è stato creato. Devi configurare il peering VPC in ogni regione in cui disponi di risorse Lightsail.

Come da best practice, è consigliabile concedere all'utente IAM le autorizzazioni minime necessarie per creare la connessione. È possibile specificare solo le azioni necessarie di Amazon EC2 all'interno della policy. La seguente policy di esempio include azioni per l'accesso all'endpoint EC2, l'accettazione di connessioni peering e la modifica della tabella di routing esistente per adattarla a questa connessione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:AcceptVpcPeeringConnection",
                "ec2:DescribeVpcs",
                "ec2:CreateRoute",
                "ec2:DescribeVpcPeeringConnections",
                "ec2:DeleteRoute",
                "ec2:ModifyVpcPeeringConnectionOptions",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups",
                "lightsail:*"
            ],
            "Resource": "*"
        }
    ]
}

La policy precedente consente l'accesso completo ad Amazon Lightsail (“ lightsail: *”). Se la tua entità IAM utilizza una policy restrittiva per Amazon Lightsail (non "lightsail: *“), assicurati di includere" lightSail:peerVPC< "e" lightSail:unpeerVPC. In questo caso, potresti non essere in grado di utilizzare la console Amazon Lightsail per eseguire le azioni di peering. Invece, puoi utilizzare le chiamate API AWS come PeerVPC e UnpeerVPC per configurare la connessione peering.

Di seguito sono riportati esempi di chiamate AWS Command Line Interface (AWS CLI) per configurare la connessione peering.

Nota: se si riceve un messaggio di errore durante l’esecuzione dei comandi AWS CLI, assicurarsi di utilizzare la versione più recente di AWS CLI.

Crea una connessione peering VPC

aws lightsail peer-vpc --region regionName

Controlla la connessione peering VPC

aws lightsail is-vpc-peered --region regionName

Elimina la connessione peering VPC

aws lightsail unpeer-vpc --region regionName

Sostituisci regionName con la regione corretta in cui desideri aggiungere il peering VPC.

Nota: altre operazioni richiedono autorizzazioni aggiuntive non incluse in questa policy. Ad esempio, l'esportazione di snapshot Lightsail in Amazon EC2 o l'accesso ad altri servizi AWS utilizzando questa connessione peering VPC di Lightsail richiede autorizzazioni aggiuntive.