IAMFür EC2 Amazon-Startvorlagen erforderliche Berechtigungen - Amazon Elastic Compute Cloud

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMFür EC2 Amazon-Startvorlagen erforderliche Berechtigungen

Mithilfe von IAM Berechtigungen können Sie steuern, ob Benutzer Startvorlagen oder Startvorlagenversionen auflisten, anzeigen, erstellen oder löschen können.

Wichtig

Sie können Berechtigungen auf Ressourcenebene nicht verwenden, um die Ressourcen einzuschränken, die Benutzer in einer Startvorlage angeben können, wenn sie eine Startvorlage oder eine Startvorlagenversion erstellen. Stellen Sie daher sicher, dass nur vertrauenswürdigen Administratoren die Berechtigung zum Erstellen von Startvorlagen und Startvorlagenversionen erteilt wird.

Sie müssen jedem, der eine Startvorlage verwendet, die erforderlichen Berechtigungen zum Erstellen und Zugreifen auf die in der Startvorlage angegebenen Ressourcen gewähren. Beispielsweise:

  • Um eine Instance von einem geteilten privaten Amazon Machine Image (AMI) aus zu starten, benötigt der Benutzer die Startberechtigung fürAMI.

  • Um EBS Volumes mit Tags aus vorhandenen Snapshots zu erstellen, muss der Benutzer über Lesezugriff auf die Snapshots sowie über Berechtigungen zum Erstellen und Markieren von Volumes verfügen.

ec2: CreateLaunchTemplate

Um eine Startvorlage in der Konsole oder mithilfe von zu erstellenAPIs, muss der Principal über die ec2:CreateLaunchTemplate entsprechende Berechtigung in einer IAM Richtlinie verfügen. Verwenden Sie nach Möglichkeit Tags, um den Zugriff auf die Startvorlagen in Ihrem Konto zu steuern.

Die folgende IAM Richtlinienerklärung erteilt dem Principal beispielsweise nur dann die Erlaubnis, Startvorlagen zu erstellen, wenn die Vorlage das angegebene Tag verwendet (Zweck=Testen).

{ "Sid": "IAMPolicyForCreatingTaggedLaunchTemplates", "Action": "ec2:CreateLaunchTemplate", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/purpose": "testing" } } }

Prinzipale, die Schlüssel erstellen, benötigen möglicherweise einige verwandte Berechtigungen, wie beispielsweise:

  • ec2: CreateTags — Um der Startvorlage während des CreateLaunchTemplate Vorgangs Tags hinzuzufügen, muss der CreateLaunchTemplate Aufrufer über die ec2:CreateTags entsprechende Berechtigung in einer IAM Richtlinie verfügen.

  • ec2: RunInstances — Um EC2 Instances von der Startvorlage aus zu starten, die sie erstellt haben, muss der Principal auch über die ec2:RunInstances entsprechende Berechtigung in einer Richtlinie verfügen. IAM

Bei Aktionen zur Ressourcenerstellung, die Tags anwenden, müssen Benutzer über ec2:CreateTags-Berechtigungen verfügen. In der folgenden IAM Richtlinienerklärung wird der ec2:CreateAction Bedingungsschlüssel verwendet, um Benutzern das Erstellen von Tags nur im Kontext von CreateLaunchTemplate zu zu ermöglichen. Die Benutzer können keine vorhandenen Startvorlagen oder andere Ressourcen kennzeichnen. Weitere Informationen finden Sie unter Erteilen Sie die Erlaubnis, EC2 Amazon-Ressourcen während der Erstellung zu taggen.

{ "Sid": "IAMPolicyForTaggingLaunchTemplatesOnCreation", "Action": "ec2:CreateTags", "Effect": "Allow", "Resource": "arn:aws:ec2:region:account-id:launch-template/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateLaunchTemplate" } } }

Der IAM Benutzer, der eine Startvorlage erstellt, ist nicht automatisch berechtigt, die von ihm erstellte Startvorlage zu verwenden. Wie jeder andere Prinzipal benötigt auch der Ersteller der Startvorlage die entsprechende Genehmigung im Rahmen einer IAM Richtlinie. Wenn ein IAM Benutzer eine EC2 Instance von einer Startvorlage aus starten möchte, benötigt er die ec2:RunInstances entsprechende Genehmigung. Wenn Sie diese Berechtigungen gewähren, können Sie angeben, dass Benutzer nur Startvorlagen mit bestimmten oder bestimmten Tags verwenden könnenIDs. Sie können auch steuern, auf welche AMI und andere Ressourcen jeder, der Startvorlagen verwendet, beim Starten von Instances verweisen und diese verwenden kann, indem Sie Berechtigungen auf Ressourcenebene für den RunInstances Aufruf angeben. Beispiele für Richtlinien finden Sie unter Startvorlagen.

ec2: DescribeLaunchTemplates

Um Startvorlagen im Konto auflisten und anzeigen zu können, muss der Principal über die ec2:DescribeLaunchTemplates entsprechende Berechtigung in einer IAM Richtlinie verfügen. Da Describe-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen, müssen sie Sie ohne Bedingungen angeben, und der Wert des Ressourcenelements in der Richtlinie muss "*" sein.

Die folgende IAM Richtlinienerklärung erteilt dem Principal beispielsweise die Erlaubnis, alle Startvorlagen im Konto aufzulisten und anzuzeigen.

{ "Sid": "IAMPolicyForDescribingLaunchTemplates", "Action": "ec2:DescribeLaunchTemplates", "Effect": "Allow", "Resource": "*" }

ec2: DescribeLaunchTemplateVersions

Principals, die Startvorlagen auflisten und anzeigen, sollten auch ec2:DescribeLaunchTemplateVersions berechtigt sein, den gesamten Satz von Attributen abzurufen, aus denen die Startvorlagen bestehen.

Um Versionen von Startvorlagen im Konto aufzulisten und anzuzeigen, muss der Hauptbenutzer über die ec2:DescribeLaunchTemplateVersions entsprechende Berechtigung in einer IAM Richtlinie verfügen. Da Describe-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen, müssen sie Sie ohne Bedingungen angeben, und der Wert des Ressourcenelements in der Richtlinie muss "*" sein.

Die folgende IAM Richtlinienerklärung erteilt dem Principal beispielsweise die Erlaubnis, alle Startvorlagenversionen im Konto aufzulisten und anzuzeigen.

{ "Sid": "IAMPolicyForDescribingLaunchTemplateVersions", "Effect": "Allow", "Action": "ec2:DescribeLaunchTemplateVersions", "Resource": "*" }

ec2: DeleteLaunchTemplate

Wichtig

Seien Sie vorsichtig, wenn Sie Prinzipalen die Berechtigung zum Löschen einer Ressource gewähren. Das Löschen einer Startvorlage kann zu einem Fehler in einer AWS Ressource führen, die auf der Startvorlage basiert.

Um eine Startvorlage zu löschen, muss der Principal über die ec2:DeleteLaunchTemplate entsprechende Berechtigung in einer IAM Richtlinie verfügen. Wann immer möglich, verwenden Sie Bedingungsschlüssel, um die Berechtigungen einzuschränken.

Die folgende IAM Richtlinienerklärung erteilt dem Principal beispielsweise nur dann die Erlaubnis, Startvorlagen zu löschen, wenn die Vorlage das angegebene Tag hat (Zweck=Testen).

{ "Sid": "IAMPolicyForDeletingLaunchTemplates", "Action": "ec2:DeleteLaunchTemplate", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/purpose": "testing" } } }

Sie können es auch verwenden, ARNs um die Startvorlage zu identifizieren, für die die IAM Richtlinie gilt.

Eine Startvorlage hat FolgendesARN.

"Resource": "arn:aws:ec2:region:account-id:launch-template/lt-09477bcd97b0d310e"

Sie können mehrere angeben, ARNs indem Sie sie in eine Liste einschließen, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Prinzipal jede Startvorlage im Konto löschen kann.

Steuern von Berechtigungen für Versionsverwaltung

Vertrauenswürdigen Administratoren können Sie Zugriff auf das Erstellen und Löschen von Versionen einer Startvorlage und das Ändern der Standardversion einer Startvorlage gewähren, indem Sie IAM Richtlinien verwenden, die den folgenden Beispielen ähneln.

Wichtig

Seien Sie vorsichtig, wenn Sie Principals die Erlaubnis erteilen, Startvorlagenversionen zu erstellen oder Startvorlagen zu ändern.

  • Wenn Sie eine Startvorlagenversion erstellen, wirken Sie sich auf alle AWS Ressourcen aus, die es Amazon EC2 ermöglichen, Instances in Ihrem Namen mit der Latest Version zu starten.

  • Wenn Sie eine Startvorlage ändern, können Sie die Version ändern Default und sich somit auf alle AWS Ressourcen auswirken, die es Amazon ermöglichen, Instances in Ihrem Namen mit dieser modifizierten Version EC2 zu starten.

Sie müssen auch vorsichtig sein, wenn Sie mit AWS Ressourcen umgehen, die mit der Vorlagenversion interagieren Latest oder diese Default starten, wie EC2 Fleet und Spot-Flotte. Wenn eine andere Version der Startvorlage für Latest oder verwendet wirdDefault, überprüft Amazon die Benutzerberechtigungen EC2 nicht erneut auf auszuführende Aktionen, wenn neue Instances gestartet werden, um die Zielkapazität der Flotte zu erreichen, da keine Benutzerinteraktion mit der AWS Ressource stattfindet. Indem einem Benutzer die Berechtigung zum Aufrufen von CreateLaunchTemplateVersion und erteilt wird ModifyLaunchTemplateAPIs, wird dem Benutzer die iam:PassRole Berechtigung auch erteilt, wenn er die Flotte auf eine andere Version der Startvorlage weiterleitet, die ein Instance-Profil (einen Container für eine IAM Rolle) enthält. Das bedeutet, dass ein Benutzer möglicherweise eine Startvorlage aktualisieren kann, um eine IAM Rolle an eine Instanz zu übergeben, auch wenn er nicht über die iam:PassRole entsprechende Berechtigung verfügt. Sie können dieses Risiko kontrollieren, indem Sie bei der Vergabe von Berechtigungen für die Erstellung und Verwaltung von Startvorlagenversionen vorsichtig vorgehen.

ec2: CreateLaunchTemplateVersion

Um eine neue Version einer Startvorlage zu erstellen, muss der Principal in einer IAM Richtlinie über die ec2:CreateLaunchTemplateVersion Berechtigung für die Startvorlage verfügen.

Die folgende IAM Richtlinienerklärung erteilt dem Principal beispielsweise nur dann die Erlaubnis, Startvorlagenversionen zu erstellen, wenn die Version das angegebene Tag verwendet (Umgebung=Produktion). Alternativ können Sie eine oder mehrere Startvorlagen angebenARNs, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Prinzipal Versionen jeder Startvorlage im Konto erstellen kann.

{ "Sid": "IAMPolicyForCreatingLaunchTemplateVersions", "Action": "ec2:CreateLaunchTemplateVersion", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": "production" } } }

ec2: DeleteLaunchTemplateVersion

Wichtig

Wie immer sollten Sie Vorsicht walten lassen, wenn Sie Prinzipalen die Berechtigung zum Löschen einer Ressource erteilen. Das Löschen einer Version der Startvorlage kann zu einem Fehler in einer AWS Ressource führen, die auf der Version der Startvorlage basiert.

Um eine Startvorlagenversion zu löschen, muss der Prinzipal in einer IAM Richtlinie über die ec2:DeleteLaunchTemplateVersion Berechtigung für die Startvorlage verfügen.

Die folgende IAM Richtlinienerklärung erteilt dem Prinzipal beispielsweise nur dann die Erlaubnis, Startvorlagenversionen zu löschen, wenn die Version das angegebene Tag verwendet (Umgebung=Produktion). Alternativ können Sie eine oder mehrere Startvorlagen angebenARNs, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Prinzipal Versionen aller Startvorlagen im Konto löschen kann.

{ "Sid": "IAMPolicyForDeletingLaunchTemplateVersions", "Action": "ec2:DeleteLaunchTemplateVersion", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": "production" } } }

ec2: ModifyLaunchTemplate

Um die Default Version zu ändern, die einer Startvorlage zugeordnet ist, muss der Principal in einer IAM Richtlinie über die ec2:ModifyLaunchTemplate entsprechende Berechtigung für die Startvorlage verfügen.

Die folgende IAM Richtlinienerklärung erteilt dem Principal beispielsweise nur dann die Erlaubnis, Startvorlagen zu ändern, wenn die Startvorlage das angegebene Tag verwendet (Umgebung=Produktion). Alternativ können Sie eine oder mehrere Startvorlagen angebenARNs, oder Sie können den Resource Wert "*" ohne das Condition Element angeben, damit der Principal jede Startvorlage im Konto ändern kann.

{ "Sid": "IAMPolicyForModifyingLaunchTemplates", "Action": "ec2:ModifyLaunchTemplate", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/environment": "production" } } }

Steuern des Zugriffs auf Tags in Startvorlagen

Sie können Bedingungsschlüssel verwenden, um Tagging-Berechtigungen einzuschränken, wenn es sich bei der Ressource um eine Startvorlage handelt. Die folgende IAM Richtlinie ermöglicht es beispielsweise, nur das Tag mit dem temporary Schlüssel aus den Startvorlagen im angegebenen Konto und in der angegebenen Region zu entfernen.

{ "Sid": "IAMPolicyForDeletingTagsOnLaunchTemplates", "Action": "ec2:DeleteTags", "Effect": "Allow", "Resource": "arn:aws:ec2:region:account-id:launch-template/*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": ["temporary"] } } }

Weitere Informationen zu Bedingungsschlüsseln, mit denen Sie die Tagschlüssel und -werte steuern können, die auf EC2 Amazon-Ressourcen angewendet werden können, finden Sie unterKontrollieren des Zugriffs auf bestimmte Tags (Markierungen).