Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Standardmäßig sind IAM-Entitäten nicht berechtigt, EC2 Instance Connect-Endpoints zu erstellen, zu beschreiben oder zu ändern. Ein IAM-Administrator kann IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung erteilen, Aktionen für die Ressourcen auszuführen, die sie benötigen.
Informationen zum Erstellen und Bearbeiten von IAM-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.
Die folgenden Beispielrichtlinien zeigen, dass Sie die Berechtigungen steuern können, die Benutzer für EC2 Instance Connect-Endpoints haben.
Beispiele
Berechtigungen zum Erstellen, Beschreiben und Löschen von EC2 Instance Connect-Endpoints
Um einen EC2 Instance Connect-Endpunkt zu erstellen, benötigen Benutzer Berechtigungen für die folgenden Aktionen:
-
ec2:CreateInstanceConnectEndpoint -
ec2:CreateNetworkInterface -
ec2:CreateTags -
iam:CreateServiceLinkedRole
Um EC2 Instance Connect-Endpoints zu beschreiben und zu löschen, benötigen Benutzer Berechtigungen für die folgenden Aktionen:
-
ec2:DescribeInstanceConnectEndpoints -
ec2:DeleteInstanceConnectEndpoint
Sie können eine Richtlinie erstellen, die die Berechtigung zum Erstellen, Beschreiben und Löschen von EC2 Instance Connect-Endpoints in allen Subnetzen erteilt. Alternativ können Sie Aktionen nur für bestimmte Subnetze einschränken, indem Sie das Subnetz ARNs als zulässig angeben Resource oder den Bedingungsschlüssel verwenden. ec2:SubnetID Sie können den aws:ResourceTag-Bedingungsschlüssel auch verwenden, um die Erstellung von Endpunkten mit bestimmten Tags explizit zuzulassen oder zu verweigern. Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im -IAM-Benutzerhandbuch.
Beispiel für eine IAM-Richtlinie
In der folgenden Beispiel-IAM-Richtlinie erteilt der Abschnitt Resource die Berechtigung zum Erstellen und Löschen von Endpunkten in allen Subnetzen, die durch das Sternchen (*) angegeben sind. ec2:Describe*-API-Aktionen unterstützen keine Berechtigungen auf Ressourcenebene. Aus diesem Grund ist in der obigen Anweisung der *-Platzhalter im Resource-Element erforderlich.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "GrantAllActionsInAllSubnets",
"Action": [
"ec2:CreateInstanceConnectEndpoint",
"ec2:DeleteInstanceConnectEndpoint",
"ec2:CreateNetworkInterface",
"ec2:CreateTags",
"iam:CreateServiceLinkedRole"
],
"Effect": "Allow",
"Resource": "arn:aws:ec2:region:account-id:subnet/*"
},
{
"Action": [
"ec2:CreateNetworkInterface"
],
"Effect": "Allow",
"Resource": "arn:aws:ec2:::security-group/*"
},
{
"Sid": "DescribeInstanceConnectEndpoints",
"Action": [
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}Berechtigungen zur Verwendung von EC2 Instance Connect Endpoint zum Herstellen einer Verbindung zu Instanzen
Die ec2-instance-connect:OpenTunnel Aktion gewährt die Erlaubnis, eine TCP-Verbindung zu einer Instanz herzustellen, um eine Connect über den EC2 Instance Connect-Endpunkt herzustellen. Sie können den zu verwendenden EC2 Instance Connect-Endpunkt angeben. Alternativ können Benutzer Resource mit einem Sternchen (*) jeden verfügbaren EC2 Instance Connect-Endpunkt verwenden. Sie können den Zugriff auf Instances auch einschränken, wenn Ressourcen-Tags als Bedingungsschlüssel vorhanden oder nicht vorhanden sind.
Bedingungen
-
ec2-instance-connect:remotePort– Gibt den Port auf der Instance an, der für den Aufbau einer TCP-Verbindung verwendet werden kann. Wenn dieser Bedingungsschlüssel verwendet wird, führt der Versuch, eine Verbindung zu einer Instance an einem anderen Port als dem in der Richtlinie angegebenen Port herzustellen, zu einem Fehler. -
ec2-instance-connect:privateIpAddress– Gibt die private Ziel-IP-Adresse an, die der Instance zugeordnet ist, mit der Sie eine TCP-Verbindung herstellen möchten. Sie können eine einzelne IP-Adresse angeben, z. B.10.0.0.1/32, oder einen IPs Durchgangsbereich CIDRs, z. B.10.0.1.0/28Wenn dieser Bedingungsschlüssel verwendet wird, führt der Versuch, eine Verbindung zu einer Instance mit einer anderen privaten IP-Adresse oder außerhalb des CIDR-Bereichs herzustellen, zu einem Fehler. -
ec2-instance-connect:maxTunnelDuration– Gibt die maximale Dauer für eine hergestellte TCP-Verbindung an. Die Einheit ist Sekunden und die Dauer reicht von mindestens 1 Sekunde bis maximal 3 600 Sekunden (1 Stunde). Wenn die Bedingung nicht angegeben ist, ist die Standarddauer auf 3 600 Sekunden (1 Stunde) festgelegt. Der Versuch, länger als die in der IAM-Richtlinie angegebene Dauer oder länger als das Standardmaximum eine Verbindung zu einer Instance herzustellen, führt zu einem Fehler. Die Verbindung wird nach Ablauf der angegebenen Dauer getrennt.Wenn
maxTunnelDurationin der IAM-Richtlinie angegeben ist und der angegebene Wert weniger als 3 600 Sekunden beträgt (Standard), müssen Sie--max-tunnel-durationim Befehl angeben, wenn Sie eine Verbindung zu einer Instance herstellen. Weitere Information über das Verbinden mit einer Instance finden Sie unter Stellen Sie mithilfe von EC2 Instance Connect Endpoint eine Verbindung zu einer EC2 Amazon-Instance Connect.
Sie können einem Benutzer auch Zugriff gewähren, um Verbindungen zu Instanzen herzustellen, die auf dem Vorhandensein von Ressourcen-Tags auf dem EC2 Instance Connect-Endpunkt basieren. Weitere Informationen finden Sie unter Richtlinien und Berechtigungen in IAM im -IAM-Benutzerhandbuch.
Für Linux-Instances gewährt die Aktion ec2-instance-connect:SendSSHPublicKey die Erlaubnis, den öffentlichen Schlüssel auf eine Instance zu übertragen. Die ec2:osuser-Bedingung gibt den Namen des Betriebssystembenutzers an, der den öffentlichen Schlüssel per Push an die Instance übertragen kann. Verwenden Sie den Standardbenutzernamen der AMI, den Sie beim Starten der Instance verwendet haben. Weitere Informationen finden Sie unter Erteilen Sie IAM-Berechtigungen für EC2 Instance Connect.
Beispiel für eine IAM-Richtlinie
Die folgenden IAM-Beispielrichtlinien ermöglichen es einem IAM-Prinzipal, eine Connect zu einer Instance herzustellen, indem er nur den angegebenen EC2 Instance Connect-Endpunkt verwendet, der durch die angegebene Endpunkt-ID identifiziert wird. eice-123456789abcdef Die Verbindung wird nur erfolgreich hergestellt, wenn alle Bedingungen erfüllt sind.
Anmerkung
ec2:Describe*-API-Aktionen unterstützen keine Berechtigungen auf Ressourcenebene. Aus diesem Grund ist in der obigen Anweisung der *-Platzhalter im Resource-Element erforderlich.
In diesem Beispiel wird ausgewertet, ob die Verbindung zur Instance auf Port 22 (SSH) hergestellt wurde, ob die private IP-Adresse der Instance im Bereich von 10.0.1.0/31 (zwischen 10.0.1.0 und 10.0.1.1) liegt und die maxTunnelDuration weniger als oder gleich 3600 Sekunden ist. Die Verbindung wird nach 3600 Sekunden (1 Stunden) getrennt.
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "EC2InstanceConnect",
"Action": "ec2-instance-connect:OpenTunnel",
"Effect": "Allow",
"Resource": "arn:aws:ec2:region:account-id:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
},
"IpAddress": {
"ec2-instance-connect:privateIpAddress": "10.0.1.0/31"
},
"NumericLessThanEquals": {
"ec2-instance-connect:maxTunnelDuration": "3600"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Sid": "Describe",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Effect": "Allow",
"Resource": "*"
}
]
}Herstellen von Verbindungen nur von einem bestimmten IP-Adressbereich berechtigen
Die folgende Beispiel-IAM-Richtlinie ermöglicht es einem IAM-Prinzipal, eine Verbindung zu einer Instance herzustellen, sofern er von einer IP-Adresse innerhalb des in der Richtlinie angegebenen IP-Adressbereichs aus eine Verbindung herstellt. Wenn der IAM-Prinzipal OpenTunnel von einer IP-Adresse aufruft, die nicht innerhalb des Bereichs 192.0.2.0/24 liegt (der Beispiel-IP-Adressbereich in dieser Richtlinie), wird die Antwort Access Denied sein. Weitere Informationen finden Sie unter aws:SourceIp im IAM-Benutzerhandbuch.
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:OpenTunnel",
"Resource": "arn:aws:ec2:region:account-id:instance-connect-endpoint/eice-123456789abcdef",
"Condition": {
"IpAddress": {
"aws:SourceIp": "192.0.2.0/24"
},
"NumericEquals": {
"ec2-instance-connect:remotePort": "22"
}
}
},
{
"Sid": "SSHPublicKey",
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:osuser": "ami-username"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeInstanceConnectEndpoints"
],
"Resource": "*"
}
]
}