Concedi IAM le autorizzazioni per EC2 Instance Connect

Per connetterti a un'EC2istanza utilizzando Instance Connect, devi creare una IAM policy che conceda agli utenti le autorizzazioni per le seguenti azioni e condizioni:

• Operazione ec2-instance-connect:SendSSHPublicKey: concede l'autorizzazione per inviare la chiave pubblica a un'istanza.

• Condizione ec2:osuser: specifica il nome dell'utente del sistema operativo che può inviare la chiave pubblica a un'istanza. Usa il nome utente predefinito per AMI quello che hai usato per avviare l'istanza. Il nome utente predefinito per AL2 023 e Amazon Linux 2 èec2-user, e per Ubuntu èubuntu.

• ec2:DescribeInstancesazione — Richiesto quando si utilizza la EC2 console perché il wrapper richiama questa azione. Gli utenti potrebbero già disporre dell'autorizzazione per richiamare questa operazione da un'altra policy.

• ec2:DescribeVpcsazione: obbligatoria per la connessione a un IPv6 indirizzo.

Valuta la possibilità di limitare l'accesso a EC2 istanze specifiche. In caso contrario, tutti IAM i principali autorizzati all'ec2-instance-connect:SendSSHPublicKeyazione possono connettersi a tutte le istanze. EC2 È possibile limitare l'accesso specificando la risorsa ARNs o utilizzando i tag delle risorse come chiavi di condizione.

Per ulteriori informazioni, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 Instance Connect.

Per informazioni sulla creazione IAM di politiche, consulta Creazione IAM di politiche nella Guida IAM per l'utente.

Consentire agli utenti di connettersi a istanze specifiche

La seguente IAM politica concede l'autorizzazione a connettersi a istanze specifiche, identificate dalla relativa risorsa. ARNs

Nella seguente IAM politica di esempio, vengono specificate le azioni e le condizioni seguenti:

• L'ec2-instance-connect:SendSSHPublicKeyazione concede agli utenti il permesso di connettersi a due istanze, specificate dalla risorsa. ARNs Per concedere agli utenti l'autorizzazione a connettersi a tutte le EC2 istanze, sostituisci la risorsa ARNs con il carattere jolly. *

• La ec2:osuser condizione concede l'autorizzazione a connettersi alle istanze solo se ami-username viene specificata al momento della connessione.

• L'operazione ec2:DescribeInstances è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se i tuoi utenti utilizzeranno solo un SSH client per connettersi alle tue istanze, puoi ec2:DescribeInstances ometterlo. Tieni presente che le ec2:Describe* API azioni non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

• L'ec2:DescribeVpcsazione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un indirizzo. IPv6 Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi ec2:DescribeVpcs ometterlo. Tieni presente che le ec2:Describe* API azioni non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": [
                "arn:aws:ec2:region:account-id:instance/i-1234567890abcdef0",
                "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}

Consentire agli utenti di connettersi alle istanze con tag specifici

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Puoi utilizzare i tag delle risorse per controllare l'accesso a un'istanza. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta Controlling access to AWS resources nella Guida per l'utente. IAM

Nella IAM politica di esempio seguente, l'ec2-instance-connect:SendSSHPublicKeyazione concede agli utenti il permesso di connettersi a qualsiasi istanza (indicata dalla * jolly nella risorsaARN) a condizione che l'istanza abbia un tag di risorsa con key= e value=tag-key. tag-value

L'operazione ec2:DescribeInstances è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se i tuoi utenti useranno solo un SSH client per connettersi alle tue istanze, puoi ometterlo. ec2:DescribeInstances Tieni presente che le ec2:Describe* API azioni non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

L'ec2:DescribeVpcsazione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un indirizzo. IPv6 Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi ec2:DescribeVpcs ometterlo. Tieni presente che le ec2:Describe* API azioni non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey", 
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/tag-key": "tag-value"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}