Pilih preferensi cookie Anda

Kami menggunakan cookie penting serta alat serupa yang diperlukan untuk menyediakan situs dan layanan. Kami menggunakan cookie performa untuk mengumpulkan statistik anonim sehingga kami dapat memahami cara pelanggan menggunakan situs dan melakukan perbaikan. Cookie penting tidak dapat dinonaktifkan, tetapi Anda dapat mengklik “Kustom” atau “Tolak” untuk menolak cookie performa.

Jika Anda setuju, AWS dan pihak ketiga yang disetujui juga akan menggunakan cookie untuk menyediakan fitur situs yang berguna, mengingat preferensi Anda, dan menampilkan konten yang relevan, termasuk iklan yang relevan. Untuk menerima atau menolak semua cookie yang tidak penting, klik “Terima” atau “Tolak”. Untuk membuat pilihan yang lebih detail, klik “Kustomisasi”.

Preferensi
Hubungi Kami
Umpan Balik
AWS Documentation
Buat Akun AWS

Berikan izin IAM untuk EC2 Instance Connect

PDF
RSS
Mode fokus
Berikan izin IAM untuk EC2 Instance Connect - Amazon Elastic Compute Cloud
Izinkan pengguna untuk terhubung ke instans tertentuIzinkan pengguna untuk terhubung ke instans dengan tanda tertentu

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Untuk menyambung ke instans menggunakan EC2 Instance Connect, Anda harus membuat kebijakan IAM yang memberikan izin kepada pengguna untuk tindakan dan kondisi berikut:

  • Tindakan ec2-instance-connect:SendSSHPublicKey – Memberikan izin untuk mendorong kunci publik ke sebuah instans.

  • Kondisi ec2:osuser – Menentukan nama pengguna OS yang dapat mendorong kunci publik ke sebuah instans. Gunakan nama pengguna default untuk AMI yang Anda gunakan untuk meluncurkan instance. Nama pengguna default untuk AL2 023 dan Amazon Linux 2 adalahec2-user, dan untuk Ubuntu itu. ubuntu

  • ec2:DescribeInstancestindakan - Diperlukan saat menggunakan EC2 konsol karena pembungkus memanggil tindakan ini. Pengguna mungkin sudah memiliki izin untuk memanggil tindakan ini dari kebijakan lain.

  • ec2:DescribeVpcstindakan - Diperlukan saat menghubungkan ke IPv6 alamat.

Pertimbangkan untuk membatasi akses ke EC2 instance tertentu. Jika tidak, semua kepala sekolah IAM dengan izin untuk ec2-instance-connect:SendSSHPublicKey tindakan dapat terhubung ke semua instance. EC2 Anda dapat membatasi akses dengan menentukan sumber daya ARNs atau dengan menggunakan tag sumber daya sebagai kunci kondisi.

Untuk informasi selengkapnya, lihat Kunci tindakan, sumber daya, dan kondisi untuk Amazon EC2 Instance Connect.

Untuk informasi tentang pembuatan kebijakan IAM, lihat Membuat kebijakan IAM di Panduan Pengguna IAM.

Izinkan pengguna untuk terhubung ke instans tertentu

Kebijakan IAM berikut memberikan izin untuk terhubung ke instans tertentu, yang diidentifikasi oleh sumber daya mereka. ARNs

Dalam contoh kebijakan IAM berikut, tindakan dan kondisi berikut ditentukan:

  • ec2-instance-connect:SendSSHPublicKeyTindakan memberikan izin kepada pengguna untuk terhubung ke dua instance, yang ditentukan oleh sumber daya. ARNs Untuk memberikan izin kepada pengguna untuk terhubung ke semua EC2 instance, ganti sumber daya ARNs dengan * wildcard.

  • ec2:osuserKondisi memberikan izin untuk terhubung ke instance hanya jika ami-username ditentukan saat menghubungkan.

  • Tindakan ec2:DescribeInstances ditentukan untuk memberikan izin kepada pengguna yang akan menggunakan konsol untuk terhubung ke instans Anda. Jika pengguna Anda hanya akan menggunakan klien SSH untuk terhubung ke instans Anda, maka Anda dapat menghapus ec2:DescribeInstances. Perhatikan bahwa tindakan API ec2:Describe* tidak mendukung izin tingkat sumber daya. Oleh karena itu, wildcard * dibutuhkan dalam Resource.

  • ec2:DescribeVpcsTindakan ditentukan untuk memberikan izin kepada pengguna yang akan menggunakan konsol untuk terhubung ke instance Anda menggunakan IPv6 alamat. Jika pengguna Anda hanya akan menggunakan IPv4 alamat publik, Anda dapat menghilangkannyaec2:DescribeVpcs. Perhatikan bahwa tindakan API ec2:Describe* tidak mendukung izin tingkat sumber daya. Oleh karena itu, wildcard * dibutuhkan dalam Resource.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": [
                "arn:aws:ec2:region:account-id:instance/i-1234567890abcdef0",
                "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}

Izinkan pengguna untuk terhubung ke instans dengan tanda tertentu

Attribute-based access control (ABAC) adalah strategi otorisasi yang mendefinisikan izin berdasarkan tag yang dapat dilampirkan ke pengguna dan sumber daya. AWS Anda dapat menggunakan tanda sumber daya untuk mengontrol akses ke instans. Untuk informasi selengkapnya tentang penggunaan tag untuk mengontrol akses ke AWS sumber daya Anda, lihat Mengontrol akses ke AWS sumber daya di Panduan Pengguna IAM.

Dalam contoh kebijakan IAM berikut, tindakan ec2-instance-connect:SendSSHPublicKey memberikan izin kepada pengguna untuk terhubung ke instans apa pun (ditunjukkan oleh wildcard * di ARN sumber daya) dengan syarat instans memiliki tanda sumber daya dengan kunci=tag-key dan value=tag-value.

Tindakan ec2:DescribeInstances ditentukan untuk memberikan izin kepada pengguna yang akan menggunakan konsol untuk terhubung ke instans Anda. Jika pengguna Anda hanya akan menggunakan klien SSH untuk terhubung ke instance Anda, Anda dapat menghilangkannya. ec2:DescribeInstances Perhatikan bahwa tindakan API ec2:Describe* tidak mendukung izin tingkat sumber daya. Oleh karena itu, wildcard * dibutuhkan dalam Resource.

ec2:DescribeVpcsTindakan ditentukan untuk memberikan izin kepada pengguna yang akan menggunakan konsol untuk terhubung ke instance Anda menggunakan IPv6 alamat. Jika pengguna Anda hanya akan menggunakan IPv4 alamat publik, Anda dapat menghilangkannyaec2:DescribeVpcs. Perhatikan bahwa tindakan API ec2:Describe* tidak mendukung izin tingkat sumber daya. Oleh karena itu, wildcard * dibutuhkan dalam Resource.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey", 
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/tag-key": "tag-value"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}

Di halaman ini

Related resources

Panduan Jenis EC2 Instans Amazon
Panduan Pengguna Amazon EBS
Panduan EC2 Pengembang Amazon

Related resources

Panduan Jenis EC2 Instans Amazon
Panduan Pengguna Amazon EBS
Panduan EC2 Pengembang Amazon
PrivasiSyarat situsPreferensi cookie
© 2025, Amazon Web Services, Inc. atau afiliasinya. Semua hak dilindungi undang-undang.