Autorizzazioni per gestire gli endpoint Autorizzazioni per utilizzare un endpoint per connettersi Autorizzazioni per connettersi solo da un intervallo di indirizzi IP specifici

Concessione delle autorizzazioni per utilizzare l’endpoint EC2 Instance Connect

Per impostazione predefinita, le entità IAM non dispongono dell’autorizzazione per creare, descrivere o modificare gli endpoint EC2 Instance Connect. Un amministratore IAM può creare policy IAM che concedono le autorizzazioni richieste per svolgere operazioni specifiche sulle risorse necessarie.

Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l’utente di IAM.

Le seguenti policy di esempio mostrano come puoi controllare le autorizzazioni disponibili per gli utenti per gli endpoint EC2 Instance Connect.

Esempi

Autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect
Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze
Autorizzazioni per connettersi solo da un intervallo di indirizzi IP specifici

Autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect

Per creare e modificare un endpoint EC2 Instance Connect, gli utenti hanno bisogno delle autorizzazioni per le seguenti operazioni:

ec2:CreateInstanceConnectEndpoint
ec2:CreateNetworkInterface
ec2:CreateTags
ec2:ModifyInstanceConnectEndpoint
iam:CreateServiceLinkedRole

Per descrivere ed eliminare gli endpoint EC2 Instance Connect, gli utenti hanno bisogno delle autorizzazioni per le seguenti operazioni:

ec2:DescribeInstanceConnectEndpoints
ec2:DeleteInstanceConnectEndpoint

Puoi creare una policy che concede le autorizzazioni per creare, descrivere, modificare ed eliminare gli endpoint EC2 Instance Connect in tutte le sottoreti. In alternativa, puoi limitare le azioni per specifiche sottoreti solo specificando la sottorete ARNs come consentita o utilizzando la chiave di condizione. Resource ec2:SubnetID Puoi anche utilizzare la chiave di condizione aws:ResourceTag per consentire o negare esplicitamente la creazione di endpoint con determinati tag. Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.

Policy IAM di esempio

Nel seguente esempio di policy IAM, la sezione Resource concede l’autorizzazione per creare, modificare ed eliminare gli endpoint in tutte le sottoreti, specificati dall’asterisco (*). Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

Autorizzazioni per utilizzare l’endpoint EC2 Instance Connect per connettersi alle istanze

L’operazione ec2-instance-connect:OpenTunnel concede l’autorizzazione per stabilire una connessione TCP a un’istanza da connettere tramite l’endpoint EC2 Instance Connect. Puoi specificare l’endpoint EC2 Instance Connect da utilizzare. In alternativa, una Resource con un asterisco (*) consente agli utenti di utilizzare qualsiasi endpoint EC2 Instance Connect disponibile. È inoltre possibile limitare l’accesso alle istanze in base alla presenza o all’assenza di tag risorsa come chiavi di condizione.

Condizioni

ec2-instance-connect:remotePort – La porta sull’istanza che può essere utilizzata per stabilire una connessione TCP. Quando viene utilizzata questa chiave di condizione, il tentativo di connessione a un’istanza su una porta diversa da quella specificata nella policy genera un errore.
ec2-instance-connect:privateIpAddress – L’indirizzo IP privato di destinazione associato all’istanza con cui desideri stabilire una connessione TCP. È possibile specificare un singolo indirizzo IP, ad esempio10.0.0.1/32, o un intervallo di IPs passaggi CIDRs, ad esempio. 10.0.1.0/28 Quando viene utilizzata questa chiave di condizione, il tentativo di connessione a un’istanza con un indirizzo IP privato diverso o al di fuori dell’intervallo CIDR genera un errore.
ec2-instance-connect:maxTunnelDuration – La durata massima per una connessione TCP stabilita. L’unità è in secondi e la durata varia da un minimo di 1 secondo a un massimo di 3.600 secondi (1 ora). Se la condizione non è specificata, la durata predefinita è impostata su 3.600 secondi (1 ora). Il tentativo di connessione a un’istanza per un periodo superiore alla durata specificata nella policy IAM o per un periodo superiore al valore massimo predefinito genera un errore. La connessione viene interrotta dopo la durata specificata.

Se maxTunnelDuration è specificato nella policy IAM e il valore indicato è inferiore a 3.600 secondi (impostazione predefinita), devi specificare --max-tunnel-duration nel comando quando ti connetti a un’istanza. Per informazioni su come connettersi a un’istanza, consulta Connessione a un’istanza Amazon EC2 tramite l’endpoint EC2 Instance Connect.

Puoi anche concedere l’accesso a un utente per stabilire connessioni alle istanze in base alla presenza di tag delle risorse sull’endpoint EC2 Instance Connect. Per ulteriori informazioni, consulta Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.

Per le istanze Linux, l’operazione ec2-instance-connect:SendSSHPublicKey concede l’autorizzazione per inviare la chiave pubblica a un’istanza. La condizione ec2:osuser specifica il nome dell’utente del sistema operativo (SO) che può inviare la chiave pubblica a un’istanza. Utilizza il nome utente predefinito per l’AMI che è stata utilizzata per avviare l’istanza. Per ulteriori informazioni, consulta Concessione di un’autorizzazione IAM per EC2 Instance Connect.

Policy IAM di esempio

Le seguenti policy IAM di esempio consentono a un principale IAM di connettersi a un’istanza utilizzando solo l’endpoint EC2 Instance Connect, identificato dall’ID endpoint eice-123456789abcdef specificato. La connessione viene stabilita con successo solo se tutte le condizioni sono soddisfatte.

Nota

Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

Linux

Questo esempio valuta se la connessione all’istanza è stabilita sulla porta 22 (SSH), se l’indirizzo IP privato dell’istanza è compreso nell’intervallo di 10.0.1.0/31 (tra 10.0.1.0 e 10.0.1.1) e maxTunnelDuration è minore o uguale a 3600 secondi. La connessione viene interrotta dopo 3600 secondi (1 ora).

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "EC2InstanceConnect",
            "Action": "ec2-instance-connect:OpenTunnel",
            "Effect": "Allow",
            "Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
            "Condition": {
                "NumericEquals": {
                    "ec2-instance-connect:remotePort": "22"
                },
                "IpAddress": {
                    "ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
                },
                "NumericLessThanEquals": {
                    "ec2-instance-connect:maxTunnelDuration": "3600"
                }
            }
        },
        {
            "Sid": "SSHPublicKey",
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Sid": "Describe",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceConnectEndpoints"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Windows

Questo esempio valuta se la connessione all’istanza è stabilita sulla porta 3389 (RDP), se l’indirizzo IP privato dell’istanza è compreso nell’intervallo di 10.0.1.0/31 (tra 10.0.1.0 e 10.0.1.1) e maxTunnelDuration è minore o uguale a 3600 secondi. La connessione viene interrotta dopo 3600 secondi (1 ora).

JSON

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [{
            "Sid": "EC2InstanceConnect",
            "Action": "ec2-instance-connect:OpenTunnel",
            "Effect": "Allow",
            "Resource": "arn:aws:ec2:us-east-1:111122223333:instance-connect-endpoint/eice-123456789abcdef",
            "Condition": {
                "NumericEquals": {
                    "ec2-instance-connect:remotePort": "3389"
                },
                "IpAddress": {
                    "ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
                },
                "NumericLessThanEquals": {
                    "ec2-instance-connect:maxTunnelDuration": "3600"
                }
            }
        },
        {
            "Sid": "Describe",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceConnectEndpoints"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

Autorizzazioni per connettersi solo da un intervallo di indirizzi IP specifici

L’esempio seguente di policy IAM consente a un principale IAM di connettersi a un’istanza a condizione che si connetta da un indirizzo IP all’interno dell’intervallo di indirizzi IP specificato nella policy. Se il principale IAM chiama OpenTunnel da un indirizzo IP che non rientra in 192.0.2.0/24 (l’intervallo di indirizzi IP di esempio in questa policy), la risposta è Access Denied. Per ulteriori informazioni, consulta la sezione aws:SourceIp nella Guida per l’utente di IAM.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Connessione usando un IP privato e l’endpoint EC2 Instance Connect

Gruppi di sicurezza