特定のEC2のみSGを変更できるIAMポリシーを考える

記事タイトルとURLをコピーする

概要

特定のEC2に対してのみ、SGの関連付けを変更できるIAMポリシーを考えます。

(例)Tag(system)が「gyoumu」のEC2に対してのみ、SGの関連付けを変更できるように設定する

結論

できませんでした。

仕様上、制御の仕方は以下の2択となります。
全てのEC2に対してSGの関連付けを変更できるようにする。
全てのEC2に対してSGの関連付けを変更できないようにする。

詳しく

SGの関連付けを変更する操作に該当するIAMポリシーは、「ec2:ModifyNetworkInterfaceAttribute」です。
当該操作に対して、EC2を絞ることはできません。

補足ですが、以下のように記載することで関連付け可能なSGを指定することはできます。 ※前提として、リソース(EC2インスタンスやSG)の読み取り権限は付与する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyNetworkInterfaceAttribute"
            ],
            "Resource": "arn:aws:ec2:*::security-group/<関連付け変更を許可するSGに応じて記載する>"
        }
}