我正在尝试在本地服务器和云基础架构之间建立站点到站点的连接。在我们的场所中,我们安装了SonicWall防火墙,并且自SonicOS 6.5.1.0起,现在很容易放置AWS访问密钥和AWS Secret Key,并让软件通过SDK进行所有配置。
问题在于the tutorial on how to configure the firewall(第8页)说:
用于用户所属组或直接附加到该用户的安全策略必须 包括以下权限:
•AmazonEC2FullAccess –适用于AWS对象和AWS VPN
•CloudWatchLogsFullAccess –适用于AWS日志
由于向所有人提供对Amazon EC2的完全访问权限并不理想,您是否知道SonicWall实际需要哪些功能,以便我可以禁用其他所有功能并遵循最低特权原则?
答案 0 :(得分:1)
如果不研究SonicWall本身的代码,就很难准确知道它将对EC2进行哪些API调用。如果您准备至少临时授予完全EC2访问权限,则可以使用AWS CloudTrail来确切监视与本地服务器关联的IAM用户正在进行哪些API调用,然后更新您的特定策略以匹配这些调用。
或者,从完全访问IAM策略模板开始,并拒绝所有您认为与SonicWall功能完全无关的呼叫。
如果您信任SonicWall,那么可能最简单的方法就是只允许它声称需要的完整EC2访问权限(或从那里开始并逐步将它们删除,直到出现问题为止!)