EC2読み取り専用(Describe)アクセスのIAMポリシー
EC2リソースへの読み取り専用アクセスを許可するIAMポリシーを作成します。インスタンス、セキュリティグループ、VPC、ボリュームのDescribeアクションを含みます。
Compute
詳細な説明
EC2 Describe専用ポリシー
モニタリングツール、ダッシュボード、コスト分析スクリプト、監査アプリケーションでは、インスタンスの起動、変更、終了の能力なしにEC2リソースへの読み取り専用の可視性が必要になることがよくあります。
ポリシーJSON
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowEC2DescribeAll",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeSecurityGroups",
"ec2:DescribeVpcs",
"ec2:DescribeSubnets",
"ec2:DescribeVolumes",
"ec2:DescribeImages",
"ec2:DescribeKeyPairs",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeAddresses"
],
"Resource": "*"
}
]
}
リソースが"*"の理由
EC2 Describeアクションはリスト型の操作で、Resource要素で特定のリソースに制限できません。AWSはアカウント内のすべてのリソースに対してDescribe呼び出しを評価します。ユーザーが見えるものをフィルタリングするには、タグベースの条件を使用します。
よくある追加
- マルチリージョンツール用の**
ec2:DescribeRegionsとec2:DescribeAvailabilityZones**。 - ELBの可視性も必要な場合は**
elasticloadbalancing:DescribeLoadBalancers**。 - オートスケーリンググループ情報用の**
autoscaling:DescribeAutoScalingGroups**。
ユースケース
AWSアカウント全体のEC2リソースを列挙する必要があるインフラモニタリングダッシュボード、クラウドインベントリツール、セキュリティ監査スクリプト、コスト管理アプリケーション。