amazon-web-services - SonicWall 和 AWS 之间的站点到站点连接 - IAM 策略
问题描述
我正在尝试在我们的本地服务器和我们的云基础设施之间建立一个站点到站点的连接。在我们的场所,我们安装了 SonicWall 防火墙,并且从 SonicOS 6.5.1.0 开始,现在可以轻松放置 AWS 访问密钥和 AWS 密钥,并让软件通过 SDK 配置所有内容。
问题是关于如何配置防火墙的教程(第 8 页)说:
用于用户所属组或直接附加到用户的安全策略必须包括以下权限:
• AmazonEC2FullAccess – 适用于 AWS 对象和 AWS VPN
• CloudWatchLogsFullAccess – 适用于 AWS 日志
由于授予任何人对 Amazon EC2 的完全访问权限并不理想,您是否知道 SonicWall 实际需要哪些功能,以便我可以禁用其他所有功能并遵循最小权限原则?
解决方案
如果不查看 SonicWall 本身的代码,就很难确切知道它将对 EC2 进行哪些 API 调用。如果您准备至少暂时授予完整的 EC2 访问权限,则可以使用 AWS CloudTrail 来准确监控与您的本地服务器关联的 IAM 用户正在进行哪些 API 调用,然后更新您的特定策略以匹配这些调用。
或者,从完全访问 IAM 策略模板开始,检查并拒绝您认为与 SonicWall 功能完全无关的任何呼叫。
如果您信任 SonicWall,那么可能最简单的做法就是只允许它声称需要的完整 EC2 访问权限(或者从那里开始并逐渐删除它们,直到出现问题!)
推荐阅读
- ios - 使用 UIScreen 获取屏幕宽度以自动适应内容?
- javascript - Webhook 比较问题中的 Instamojo 消息身份验证代码
- html - How to 'href' to the element even to the top margin of each div?
- python - 将数据集从 google drive 上传到 google colab
- mysql - Mysql将行转换为具有varchar值的列
- arabic - 导出为 PDF 时,有什么方法可以从右到左开始我的阿拉伯语文本
- unit-testing - 是否可以从 SonarQube 未发现的行中排除变量?
- python - 关闭窗口时 Python Turtle 显示错误
- javascript - 如何使用反应重新加载 div 内容
- apache - 单个域的多个 IP