SonicWall 和 AWS 之间的站点到站点连接 - IAM 策略
Site to Site connection between SonicWall and AWS - IAM Policy
我正在尝试在我们的本地服务器和我们的云基础设施之间建立一个站点到站点的连接。在我们的前提下,我们安装了 SonicWall 防火墙,并且自 SonicOS 6.5.1.0 以来,现在可以轻松放置 AWS 访问密钥和 AWS 密钥,并让软件通过 SDK 配置所有内容。
问题是 the tutorial on how to configure the firewall(第 8 页)说:
The security policy used, either for a group to which the user belongs or attached to the user directly, must
include the following permissions:
• AmazonEC2FullAccess – For AWS Objects and AWS VPN
• CloudWatchLogsFullAccess – For AWS Logs
因为给任何人完全访问 Amazon EC2 的权限并不理想,您知道 SonicWall 实际需要哪些功能以便我可以禁用其他所有功能并遵循最小特权原则吗?
如果不查看 SonicWall 本身的代码,就很难确切地知道它将对 EC2 进行哪些 API 调用。如果您准备至少暂时授予完全 EC2 访问权限,您可以使用 AWS CloudTrail 来准确监控与您的本地服务器相关联的 IAM 用户进行了哪些 API 调用,然后将您的特定策略更新为匹配那些电话。
或者,从完全访问 IAM 策略模板开始,检查并拒绝您认为与 SonicWall 功能完全无关的任何调用。
如果您信任 SonicWall,那么最简单的事情可能就是只允许它声称需要的完整 EC2 访问权限(或者从那里开始并逐渐删除它们,直到出现问题!)
我正在尝试在我们的本地服务器和我们的云基础设施之间建立一个站点到站点的连接。在我们的前提下,我们安装了 SonicWall 防火墙,并且自 SonicOS 6.5.1.0 以来,现在可以轻松放置 AWS 访问密钥和 AWS 密钥,并让软件通过 SDK 配置所有内容。
问题是 the tutorial on how to configure the firewall(第 8 页)说:
The security policy used, either for a group to which the user belongs or attached to the user directly, must include the following permissions:
• AmazonEC2FullAccess – For AWS Objects and AWS VPN
• CloudWatchLogsFullAccess – For AWS Logs
因为给任何人完全访问 Amazon EC2 的权限并不理想,您知道 SonicWall 实际需要哪些功能以便我可以禁用其他所有功能并遵循最小特权原则吗?
如果不查看 SonicWall 本身的代码,就很难确切地知道它将对 EC2 进行哪些 API 调用。如果您准备至少暂时授予完全 EC2 访问权限,您可以使用 AWS CloudTrail 来准确监控与您的本地服务器相关联的 IAM 用户进行了哪些 API 调用,然后将您的特定策略更新为匹配那些电话。
或者,从完全访问 IAM 策略模板开始,检查并拒绝您认为与 SonicWall 功能完全无关的任何调用。
如果您信任 SonicWall,那么最简单的事情可能就是只允许它声称需要的完整 EC2 访问权限(或者从那里开始并逐渐删除它们,直到出现问题!)