Ebenen des Zugriffs Verwalten des Kontozugriffs auf die serielle EC2-Konsole Konfigurieren von IAM-Richtlinien für den Zugriff auf serielle EC2-Konsole

Konfigurieren des Zugriffs auf die serielle EC2-Konsole

Um den Zugriff auf die serielle Konsole zu konfigurieren, müssen Sie den Zugriff auf die serielle Konsole auf Kontoebene gewähren und dann IAM-Richtlinien konfigurieren, um Ihren Benutzern Zugriff zu gewähren.

Überprüfen Sie vor Beginn unbedingt die Voraussetzungen.

Themen

Ebenen des Zugriffs auf die serielle EC2-Konsole
Verwalten des Kontozugriffs auf die serielle EC2-Konsole
Konfigurieren von IAM-Richtlinien für den Zugriff auf serielle EC2-Konsole

Ebenen des Zugriffs auf die serielle EC2-Konsole

Standardmäßig gibt es auf Kontoebene keinen Zugriff auf die serielle Konsole. Sie müssen explizit Zugriff auf die serielle Konsole auf Kontoebene gewähren. Weitere Informationen finden Sie unter Verwalten des Kontozugriffs auf die serielle EC2-Konsole.

Sie können eine Service-Kontroll-Richtlinie (SCP) verwenden, um den Zugriff auf die serielle Konsole in Ihrem Unternehmen zu ermöglichen. Sie können dann eine differenzierte Zugriffskontrolle auf Benutzerebene vornehmen, indem Sie eine IAM-Richtlinie zur Zugriffskontrolle verwenden. Durch die Verwendung einer Kombination von SCP- und IAM-Richtlinien haben Sie unterschiedliche Zugriffskontrollstufen für die serielle Konsole.

Organisationsebene: Sie können eine Service-Kontroll-Richtlinie (SCP) verwenden, um Mitgliedskonten in Ihrer Organisation den Zugriff auf die serielle Konsole zu ermöglichen. Weitere Informationen zu SCPs finden Sie unter Service-Kontrollrichtlinien im AWS Organizations -Benutzerhandbuch.
Instance-Ebene: Sie können die Zugriffsrichtlinien für serielle Konsolen konfigurieren, indem Sie IAM PrincipalTag und ResourceTag Konstruktionen verwenden und Instanzen anhand ihrer ID angeben. Weitere Informationen finden Sie unter Konfigurieren von IAM-Richtlinien für den Zugriff auf serielle EC2-Konsole.
Benutzerebene: Sie können den Zugriff auf die Benutzerebene konfigurieren, indem Sie eine IAM-Richtlinie konfigurieren, um einem bestimmten Benutzer die Berechtigung zu erteilen oder zu verweigern, den öffentlichen SSH-Schlüssel an den seriellen Konsolendienst einer bestimmten Instance zu übertragen. Weitere Informationen finden Sie unter Konfigurieren von IAM-Richtlinien für den Zugriff auf serielle EC2-Konsole.

Verwalten des Kontozugriffs auf die serielle EC2-Konsole

Standardmäßig gibt es auf Kontoebene keinen Zugriff auf die serielle Konsole. Sie müssen explizit Zugriff auf die serielle Konsole auf Kontoebene gewähren.

Themen

Gewähren von Berechtigungen für Benutzer zur Verwaltung des Kontozugriffs
Anzeigen des Kontozugriffsstatus für die serielle Konsole
Erteilen des Kontozugriffs auf die serielle Konsole
Kontozugriff auf die serielle Konsole verweigern

Gewähren von Berechtigungen für Benutzer zur Verwaltung des Kontozugriffs

Um Ihren Benutzern die Verwaltung des Kontozugriffs auf die serielle EC2-Konsole zu ermöglichen, müssen Sie ihnen die erforderlichen IAM-Berechtigungen gewähren.

Die folgende Richtlinie gewährt Berechtigungen zum Anzeigen des Kontostatus und zum Zulassen und Verhindern des Kontozugriffs auf die serielle EC2-Konsole.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:GetSerialConsoleAccessStatus",
                "ec2:EnableSerialConsoleAccess",
                "ec2:DisableSerialConsoleAccess"
            ],
            "Resource": "*"
        }
    ]
}

Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Anzeigen des Kontozugriffsstatus für die serielle Konsole

Anzeigen des Kontozugriffsstatus auf die serielle Konsole (Konsole)

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich EC2-Dashboard aus.
Wählen Sie unter Kontoattribute serielle EC2-Konsole aus.

Das Feld Zugriff auf serielle EC2-Konsole zeigt an, ob der Kontozugriff erlaubt oder verhindert ist.

Der folgende Screenshot zeigt, dass das Konto daran gehindert wird, die serielle EC2-Konsole zu verwenden.

Anzeigen des Kontozugriffsstatus für die serielle Konsole (AWS CLI)

Verwenden Sie den Befehl get-serial-console-access-status, um den Status des Kontozugriffs auf die serielle Konsole anzuzeigen.


aws ec2 get-serial-console-access-status --region us-east-1

In der folgenden Ausgabe zeigt true an, dass dem Konto Zugriff auf die serielle Konsole gewährt wird.


{
    "SerialConsoleAccessEnabled": true
}

Erteilen des Kontozugriffs auf die serielle Konsole

Gewähren des Kontozugriffs auf die serielle Konsole (Konsole)

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich EC2-Dashboard aus.
Wählen Sie unter Kontoattribute serielle EC2-Konsole aus.
Wählen Sie Manage (Verwalten).
Um den Zugriff auf die serielle EC2-Konsole aller Instances im Konto zu ermöglichen, aktivieren Sie das Kontrollkästchen Zulassen.
Wählen Sie Update (Aktualisieren) aus.

Gewähren des Kontozugriffs auf die serielle Konsole (AWS CLI)

Verwenden Sie den enable-serial-console-accessBefehl, um den Kontozugriff auf die serielle Konsole zu ermöglichen.


aws ec2 enable-serial-console-access --region us-east-1

In der folgenden Ausgabe zeigt true an, dass dem Konto Zugriff auf die serielle Konsole gewährt wird.


{
    "SerialConsoleAccessEnabled": true
}

Kontozugriff auf die serielle Konsole verweigern

Verweigern des Kontozugriffs auf die serielle Konsole (Konsole)

Öffnen Sie die Amazon EC2-Konsole unter https://console.aws.amazon.com/ec2/.
Wählen Sie im Navigationsbereich EC2-Dashboard aus.
Wählen Sie unter Kontoattribute serielle EC2-Konsole aus.
Wählen Sie Manage (Verwalten).
Um den Zugriff auf die serielle EC2-Konsole aller Instances im Konto zu verhindern, deaktivieren Sie das Kontrollkästchen Zulassen.
Wählen Sie Update (Aktualisieren) aus.

Verrweigern des Kontozugriffs auf die serielle Konsole (AWS CLI)

Verwenden Sie den disable-serial-console-accessBefehl, um den Kontozugriff auf die serielle Konsole zu verhindern.


aws ec2 disable-serial-console-access --region us-east-1

In der folgenden Ausgabe zeigt false an, dass dem Konto Zugriff auf die serielle Konsole verweigert wird.


{
    "SerialConsoleAccessEnabled": false
}

Konfigurieren von IAM-Richtlinien für den Zugriff auf serielle EC2-Konsole

Standardmäßig haben Ihre Benutzer keinen Zugriff auf die serielle Konsole. Ihre Organisation muss IAM-Richtlinien konfigurieren, um Ihren Benutzern den erforderlichen Zugriff zu gewähren. Weitere Informationen finden Sie unter Erstellen von IAM-Richtlinien im IAM-Benutzerhandbuch.

Für den seriellen Konsolenzugriff erstellen Sie ein JSON-Richtliniendokument, das die ec2-instance-connect:SendSerialConsoleSSHPublicKey-Aktion enthält. Diese Aktion gewährt einem Benutzer die Berechtigung, den öffentlichen Schlüssel an den seriellen Konsolenservice zu übertragen, der eine serielle Konsolensitzung startet. Wir empfehlen die Einschränkung des Zugriffs auf bestimmte EC2-Instances. Andernfalls können alle Benutzer mit dieser Berechtigung eine Verbindung zur seriellen Konsole aller EC2-Instances herstellen.

IAM-Beispielrichtlinien

Zulassen des Zugriffs auf die serielle Konsole
Explizites Verweigern des Zugriffs auf die serielle Konsole
Verwenden von Ressourcen-Tags (Markierungen), um den Zugriff auf die serielle Konsole zu kontrollieren

Zulassen des Zugriffs auf die serielle Konsole

Standardmäßig hat niemand Zugriff auf die serielle Konsole. Um den Zugriff auf die serielle Konsole zu gewähren, müssen Sie eine Richtlinie konfigurieren, um den Zugriff explizit zuzulassen. Wir empfehlen, eine Richtlinie zu konfigurieren, die den Zugriff auf bestimmte Instances einschränkt.

Die folgende Richtlinie ermöglicht den Zugriff auf die serielle Konsole einer bestimmten Instance, die durch ihre Instance-ID identifiziert wird.

Beachten Sie, dass die DescribeInstances-, DescribeInstanceTypes-, und GetSerialConsoleAccessStatus-Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Daher müssen alle Ressourcen, die durch ein * (Sternchen) gekennzeichnet sind, für diese Aktionen spezifiziert werden.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
             "Resource": "*"
        },
        {
            "Sid": "AllowinstanceBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Explizites Verweigern des Zugriffs auf die serielle Konsole

Die folgende IAM-Richtlinie ermöglicht den Zugriff auf die serielle Konsole aller Instances, die durch das * (Sternchen) gekennzeichnet ist, und verweigert ausdrücklich den Zugriff auf die serielle Konsole einer bestimmten Instance, die durch ihre ID identifiziert wird.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey",
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "DenySerialConsoleAccess",
            "Effect": "Deny",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
        }
    ]
}

Verwenden von Ressourcen-Tags (Markierungen), um den Zugriff auf die serielle Konsole zu kontrollieren

Sie können Ressourcen-Tags (Markierungen) verwenden, um den Zugriff auf die serielle Konsole einer Instance zu steuern.

Die attributbasierte Zugriffskontrolle ist eine Autorisierungsstrategie, bei der Berechtigungen auf der Grundlage von Tags definiert werden, die Benutzern und Ressourcen zugewiesen werden können. AWS Beispielsweise ermöglicht die folgende Richtlinie einem Benutzer, eine serielle Konsolenverbindung für eine Instance nur dann zu initiieren, wenn das Ressourcen-Tag dieser Instance und das Tag des Prinzipals denselben SerialConsole-Wert für den Tag-Schlüssel haben.

Weitere Informationen zur Verwendung von Tags zur Steuerung des Zugriffs auf Ihre AWS Ressourcen finden Sie unter Steuern des Zugriffs auf AWS Ressourcen im IAM-Benutzerhandbuch.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AllowDescribeInstances",
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeInstanceTypes",
                "ec2:GetSerialConsoleAccessStatus"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowTagBasedSerialConsoleAccess",
            "Effect": "Allow",
            "Action": [
                "ec2-instance-connect:SendSerialConsoleSSHPublicKey"
            ],
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}"
                }
            }
        }
    ]
}

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Voraussetzungen

Herstellen einer Verbindung zur seriellen EC2-Konsole