Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Concedi le autorizzazioni IAM per EC2 Instance Connect
Per connetterti a un' EC2 istanza utilizzando Instance Connect, devi creare una policy IAM che conceda ai tuoi utenti le autorizzazioni per le seguenti azioni e condizioni:
-
Operazione
ec2-instance-connect:SendSSHPublicKey
: concede l'autorizzazione per inviare la chiave pubblica a un'istanza. -
Condizione
ec2:osuser
: specifica il nome dell'utente del sistema operativo che può inviare la chiave pubblica a un'istanza. Utilizza il nome utente predefinito per l'AMI che è stata utilizzata per avviare l'istanza. Il nome utente predefinito per AL2 023 e Amazon Linux 2 èec2-user
, e per Ubuntu èubuntu
. -
ec2:DescribeInstances
azione — Richiesto quando si utilizza la EC2 console perché il wrapper richiama questa azione. Gli utenti potrebbero già disporre dell'autorizzazione per richiamare questa operazione da un'altra policy. -
ec2:DescribeVpcs
azione: obbligatoria per la connessione a un IPv6 indirizzo.
Valuta la possibilità di limitare l'accesso a EC2 istanze specifiche. Altrimenti, tutti i principali IAM autorizzati all'ec2-instance-connect:SendSSHPublicKey
azione possono connettersi a tutte le istanze. EC2 Puoi limitare l'accesso specificando la risorsa ARNs o utilizzando i tag delle risorse come chiavi di condizione.
Per ulteriori informazioni, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 Instance Connect.
Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l'utente di IAM.
Consentire agli utenti di connettersi a istanze specifiche
La seguente policy IAM concede l'autorizzazione a connettersi a istanze specifiche, identificate dalla relativa risorsa. ARNs
Nel seguente esempio di policy IAM, vengono specificate le operazioni e le condizioni seguenti:
-
L'
ec2-instance-connect:SendSSHPublicKey
azione concede agli utenti il permesso di connettersi a due istanze, specificate dalla risorsa. ARNs Per concedere agli utenti l'autorizzazione a connettersi a tutte le EC2 istanze, sostituisci la risorsa ARNs con il carattere jolly.*
-
La
ec2:osuser
condizione concede l'autorizzazione a connettersi alle istanze solo seami-username
viene specificata al momento della connessione. -
L'operazione
ec2:DescribeInstances
è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettereec2:DescribeInstances
. Le operazioni APIec2:Describe*
non supportano le autorizzazioni a livello di risorsa. Il carattere jolly*
è quindi necessario nell'elementoResource
. -
L'
ec2:DescribeVpcs
azione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un indirizzo. IPv6 Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoiec2:DescribeVpcs
ometterlo. Le operazioni APIec2:Describe*
non supportano le autorizzazioni a livello di risorsa. Il carattere jolly*
è quindi necessario nell'elementoResource
.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": [ "arn:aws:ec2:
region
:account-id
:instance/i-1234567890abcdef0
", "arn:aws:ec2:region
:account-id
:instance/i-0598c7d356eba48d7
" ], "Condition": { "StringEquals": { "ec2:osuser": "ami-username
" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVpcs" ], "Resource": "*" } ] }
Consentire agli utenti di connettersi alle istanze con tag specifici
Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Puoi utilizzare i tag delle risorse per controllare l'accesso a un'istanza. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta Controlling access to AWS resources nella IAM User Guide.
Nel seguente esempio di policy IAM, l'operazione ec2-instance-connect:SendSSHPublicKey
concede agli utenti l'autorizzazione per connettersi a qualsiasi istanza (indicata dal carattere jolly *
nell'ARN della risorsa) a condizione che l'istanza abbia un tag di risorsa con key=tag-key
e value=tag-value
.
L'operazione ec2:DescribeInstances
è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere ec2:DescribeInstances
. Le operazioni API ec2:Describe*
non supportano le autorizzazioni a livello di risorsa. Il carattere jolly *
è quindi necessario nell'elemento Resource
.
L'ec2:DescribeVpcs
azione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un IPv6 indirizzo. Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi ec2:DescribeVpcs
ometterlo. Le operazioni API ec2:Describe*
non supportano le autorizzazioni a livello di risorsa. Il carattere jolly *
è quindi necessario nell'elemento Resource
.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": "arn:aws:ec2:
region
:account-id
:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/tag-key
": "tag-value
" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVpcs" ], "Resource": "*" } ] }