Encuentre políticas mínimas en AWS que el usuario necesita

Pero, ¿cuáles son las políticas mínimas exactas? https://console.aws.amazon.com/iam/home?#policies ¿Qué debería permitirse al usuario para este comando (o cualquier otro específico)?

No existe una única política "mínima" como la que usted solicita, con la excepción de la política "AdministratorAccess" que le brinda la posibilidad de ejecutar todos los comandos. Pero tener tanto poder es peligroso y no debe usarse sin razón.

Cada una de las políticas está diseñada para ciertas combinaciones de comandos que quizás desee ejecutar. Algunos tienen acceso completo a funciones de solo lectura (como las funciones describe*) y no tienen poder para "cambiar" nada. Otros tienen control total sobre ciertos servicios de AWS (como permitir EC2, pero no RDS).

Si realmente quiere "mínimo", entonces las políticas integradas no son lo que desea. En su lugar, desea utilizar el Generador de políticas de IAM para generar una política personalizada específica para lo que necesita ejecutar.

En su caso, para ejecutar aws ec2 describe-instances, simplemente necesitará ec2:DescribeInstancesuna política como

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Stmt1432001253000",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Generalmente existe una correspondencia uno a uno entre los comandos y las políticas necesarias para ejecutarlos. Para la mayoría de los servicios de AWS (como EC2 y RDS), la política necesaria imita el nombre del comando CLI/API.

Por ejemplo, ec2:DescribeInstancespara aws ec2 describe-instances.

Desafortunadamente, para Amazon S3, los comandos son un poco diferentes y no exactamente uno a uno.

Si desea agregar aws ec2 describe-snapshotsa sus comandos permitidos, simplemente debe agregarlos ec2:DescribeSnapshotsa la lista "Acción" en la política anterior.