Concessione di un’autorizzazione IAM per EC2 Instance Connect - Amazon Elastic Compute Cloud
Consentire agli utenti di connettersi a istanze specificheConsentire agli utenti di connettersi alle istanze con tag specifici

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione di un’autorizzazione IAM per EC2 Instance Connect

Per connetterti all’istanza tramite EC2 Instance Connect, devi creare una policy IAM che concede agli utenti le autorizzazioni per le seguenti operazioni e condizioni:

  • Operazione ec2-instance-connect:SendSSHPublicKey: concede l’autorizzazione per inviare la chiave pubblica a un’istanza.

  • Condizione ec2:osuser: specifica il nome dell’utente del sistema operativo che può inviare la chiave pubblica a un’istanza. Utilizza il nome utente predefinito per l’AMI che è stata utilizzata per avviare l’istanza. Il nome utente predefinito per AL2023 e Amazon Linux 2 èec2-user, e per Ubuntu èubuntu.

  • Operazione ec2:DescribeInstances: obbligatoria quando si utilizza la console EC2 perché il wrapper richiama questa operazione. Gli utenti potrebbero già disporre dell’autorizzazione per richiamare questa operazione da un’altra policy.

  • ec2:DescribeVpcsazione: richiesta quando ci si connette a un IPv6 indirizzo.

Considera la possibilità di limitare l’accesso a specifiche istanze EC2. In caso contrario, tutti i principali IAM con l’autorizzazione per l’operazione ec2-instance-connect:SendSSHPublicKey possono connettersi a tutte le istanze EC2. È possibile limitare l'accesso specificando la risorsa ARNs o utilizzando i tag delle risorse come chiavi di condizione.

Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon EC2 Instance Connect.

Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l’utente di IAM.

Consentire agli utenti di connettersi a istanze specifiche

La seguente policy IAM concede l'autorizzazione a connettersi a istanze specifiche, identificate dalla relativa risorsa. ARNs

Nel seguente esempio di policy IAM, vengono specificate le operazioni e le condizioni seguenti:

  • L'ec2-instance-connect:SendSSHPublicKeyazione concede agli utenti il permesso di connettersi a due istanze, specificate dalla risorsa. ARNs Per concedere agli utenti il permesso di connettersi a tutte le istanze EC2, sostituisci la risorsa ARNs con la jolly. *

  • La ec2:osuser condizione concede l'autorizzazione a connettersi alle istanze solo se viene specificata al momento della ami-username connessione.

  • L'operazione ec2:DescribeInstances è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere ec2:DescribeInstances. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

  • L'ec2:DescribeVpcsazione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un indirizzo. IPv6 Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi ec2:DescribeVpcs ometterlo. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": [
                "arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890abcdef0",
                "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}

Consentire agli utenti di connettersi alle istanze con tag specifici

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Puoi utilizzare i tag delle risorse per controllare l’accesso a un’istanza. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta Controlling access to AWS resources nella IAM User Guide.

Nel seguente esempio di policy IAM, l’operazione ec2-instance-connect:SendSSHPublicKey concede agli utenti l’autorizzazione per connettersi a qualsiasi istanza (indicata dal carattere jolly * nell’ARN della risorsa) a condizione che l’istanza abbia un tag di risorsa con key=tag-key e value=tag-value.

L’operazione ec2:DescribeInstances è specificata per concedere l’autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere ec2:DescribeInstances. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

L'ec2:DescribeVpcsazione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un IPv6 indirizzo. Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi ec2:DescribeVpcs ometterlo. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey", 
            "Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/tag-key": "tag-value"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}