Erlauben Sie Benutzern die Verbindung zu bestimmten Instances Erlauben Sie Benutzern die Verbindung zu Instances mit bestimmten Tags

Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect

Um über EC2 Instance Connect eine Verbindung mit einer Instance herzustellen, müssen Sie eine IAM-Richtlinie erstellen, die Ihren Benutzern Berechtigungen für die folgenden Aktionen und Bedingungen erteilt:

ec2-instance-connect:SendSSHPublicKey-Aktion – Erteilt einem -Benutzer die Berechtigung, den öffentlichen Schlüssel per Push zu einer Instance zu übertragen.
ec2:osuser-Bedingung – Gibt den Namen des Betriebssystembenutzers an, der den öffentlichen Schlüssel per Push an die Instance übertragen kann. Verwenden Sie den Standardbenutzernamen der AMI, den Sie beim Starten der Instance verwendet haben. Der Standard-Benutzername für AL2023 und Amazon Linux 2 ist ec2-user und für Ubuntu ist es ubuntu.
ec2:DescribeInstances-Aktion – Erforderlich, wenn die EC2-Konsole verwendet wird, da der Wrapper diese Aktion aufruft. Benutzer besitzen möglicherweise bereits die Berechtigung zum Aufruf dieser Aktion in einer anderen Richtlinie.
Aktion ec2:DescribeVpcs – Erforderlich, wenn Sie eine Verbindung mit einer IPv6-Adresse herstellen.

Ziehen Sie die Einschränkung des Zugriffs auf bestimmte EC2-Instances in Betracht. Andernfalls können alle IAM-Prinzipale mit der Berechtigung für die ec2-instance-connect:SendSSHPublicKey-Aktion Verbindungen zu allen EC2-Instances herstellen. Sie können den Zugriff auch einschränken, indem Sie Ressourcen-ARNs angeben oder Ressourcen-Tags als Bedingungsschlüssel verwenden.

Weitere Informationen finden Sie im Abschnitt Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 Instance Connect.

Informationen zum Erstellen und Bearbeiten von IAM-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Erlauben Sie Benutzern die Verbindung zu bestimmten Instances

Die folgende IAM-Richtlinie gewährt die Berechtigung, eine Verbindung zu bestimmten Instances herzustellen, die anhand ihrer Ressourcen-ARNs identifiziert werden.

In der folgenden Beispiel-IAM-Richtlinie werden die folgenden Aktionen und Bedingungen angegeben:

Die ec2-instance-connect:SendSSHPublicKey-Aktion gewährt Benutzern die Berechtigung, eine Verbindung zu zwei Instances herzustellen, die durch die Ressourcen-ARNs angegeben werden. Um Benutzern die Berechtigung zu gewähren, eine Verbindung zu allen EC2-Instances herzustellen, ersetzen Sie die Ressourcen-ARNs durch den *-Platzhalter.
Die ec2:osuser-Bedingung gewährt nur dann die Berechtigung, eine Verbindung zu den Instances herzustellen, wenn der ami-username beim Herstellen der Verbindung angegeben wird.
Die Aktion ec2:DescribeInstances wird angegeben, um Benutzern, die sich über die Konsole mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Sie können ec2:DescribeInstances auslassen, wenn Ihre Benutzer ausschließlich einen SSH-Client zum Herstellen von Verbindungen mit Ihren Instances verwenden. Beachten Sie, dass die ec2:Describe*-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der *-Platzhalter im Resource-Element erforderlich.
Die Aktion ec2:DescribeVpcs wird angegeben, um Benutzern, die über die Konsole eine Verbindung zu Ihren Instances mithilfe einer IPv6-Adresse herstellen wollen, eine Berechtigung zu gewähren. Wenn Ihre Benutzer nur eine öffentliche IPv4-Adresse verwenden, können Sie ec2:DescribeVpcs weglassen. Beachten Sie, dass die ec2:Describe*-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der *-Platzhalter im Resource-Element erforderlich.

Erlauben Sie Benutzern die Verbindung zu Instances mit bestimmten Tags

Die attributbasierte Zugriffskontrolle (ABAC – Attribute-based access control) ist eine Autorisierungsstrategie, die Berechtigungen auf der Grundlage von Tags definiert, die Benutzern und AWS-Ressourcen zugeordnet werden können. Sie können Ressourcen-Tags verwenden, um den Zugriff auf eine Instance zu steuern. Weitere Informationen zur Verwendung von Tags (Markierungen), um den Zugriff auf Ihre AWS-Ressourcen zu steuern, finden Sie unter Steuern des Zugriffs auf AWS-Ressourcen im IAM-Benutzerhandbuch.

In der folgenden Beispiel-IAM-Richtlinie gewährt die ec2-instance-connect:SendSSHPublicKey-Aktion Benutzern die Berechtigung, eine Verbindung zu einer beliebigen Instance herzustellen (gekennzeichnet durch den *-Platzhalter im Ressourcen-ARN), sofern die Instance über ein Ressourcen-Tag mit key=tag-key und value=tag-value verfügt.

Die Aktion ec2:DescribeInstances wird angegeben, um Benutzern, die sich über die Konsole mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Sie können ec2:DescribeInstances auslassen, wenn Ihre Benutzer ausschließlich einen SSH-Client zum Herstellen von Verbindungen mit Ihren Instances verwenden. Beachten Sie, dass die ec2:Describe*-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der *-Platzhalter im Resource-Element erforderlich.

Die Aktion ec2:DescribeVpcs wird angegeben, um Benutzern, die über die Konsole eine Verbindung zu Ihren Instances mithilfe einer IPv6-Adresse herstellen wollen, eine Berechtigung zu gewähren. Wenn Ihre Benutzer nur eine öffentliche IPv4-Adresse verwenden, können Sie ec2:DescribeVpcs weglassen. Beachten Sie, dass die ec2:Describe*-API-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der *-Platzhalter im Resource-Element erforderlich.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Voraussetzungen

Installieren Sie EC2 Instance Connect