Concedi le autorizzazioni IAM per EC2 Instance Connect

Per connetterti a un' EC2 istanza utilizzando Instance Connect, devi creare una policy IAM che conceda ai tuoi utenti le autorizzazioni per le seguenti azioni e condizioni:

• Operazione ec2-instance-connect:SendSSHPublicKey: concede l'autorizzazione per inviare la chiave pubblica a un'istanza.

• Condizione ec2:osuser: specifica il nome dell'utente del sistema operativo che può inviare la chiave pubblica a un'istanza. Utilizza il nome utente predefinito per l'AMI che è stata utilizzata per avviare l'istanza. Il nome utente predefinito per AL2 023 e Amazon Linux 2 èec2-user, e per Ubuntu èubuntu.

• ec2:DescribeInstancesazione — Richiesto quando si utilizza la EC2 console perché il wrapper richiama questa azione. Gli utenti potrebbero già disporre dell'autorizzazione per richiamare questa operazione da un'altra policy.

• ec2:DescribeVpcsazione: obbligatoria per la connessione a un IPv6 indirizzo.

Valuta la possibilità di limitare l'accesso a EC2 istanze specifiche. Altrimenti, tutti i principali IAM autorizzati all'ec2-instance-connect:SendSSHPublicKeyazione possono connettersi a tutte le istanze. EC2 Puoi limitare l'accesso specificando la risorsa ARNs o utilizzando i tag delle risorse come chiavi di condizione.

Per ulteriori informazioni, consulta Azioni, risorse e chiavi di condizione per Amazon EC2 Instance Connect.

Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l'utente di IAM.

Consentire agli utenti di connettersi a istanze specifiche

La seguente policy IAM concede l'autorizzazione a connettersi a istanze specifiche, identificate dalla relativa risorsa. ARNs

Nel seguente esempio di policy IAM, vengono specificate le operazioni e le condizioni seguenti:

• L'ec2-instance-connect:SendSSHPublicKeyazione concede agli utenti il permesso di connettersi a due istanze, specificate dalla risorsa. ARNs Per concedere agli utenti l'autorizzazione a connettersi a tutte le EC2 istanze, sostituisci la risorsa ARNs con il carattere jolly. *

• La ec2:osuser condizione concede l'autorizzazione a connettersi alle istanze solo se ami-username viene specificata al momento della connessione.

• L'operazione ec2:DescribeInstances è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere ec2:DescribeInstances. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

• L'ec2:DescribeVpcsazione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un indirizzo. IPv6 Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi ec2:DescribeVpcs ometterlo. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey",
            "Resource": [
                "arn:aws:ec2:region:account-id:instance/i-1234567890abcdef0",
                "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:osuser": "ami-username"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}

Consentire agli utenti di connettersi alle istanze con tag specifici

Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Puoi utilizzare i tag delle risorse per controllare l'accesso a un'istanza. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta Controlling access to AWS resources nella IAM User Guide.

Nel seguente esempio di policy IAM, l'operazione ec2-instance-connect:SendSSHPublicKey concede agli utenti l'autorizzazione per connettersi a qualsiasi istanza (indicata dal carattere jolly * nell'ARN della risorsa) a condizione che l'istanza abbia un tag di risorsa con key=tag-key e value=tag-value.

L'operazione ec2:DescribeInstances è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere ec2:DescribeInstances. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

L'ec2:DescribeVpcsazione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un IPv6 indirizzo. Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi ec2:DescribeVpcs ometterlo. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell'elemento Resource.

{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": "ec2-instance-connect:SendSSHPublicKey", 
            "Resource": "arn:aws:ec2:region:account-id:instance/*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/tag-key": "tag-value"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeInstances",
                "ec2:DescribeVpcs"
            ],
            "Resource": "*"
        }
    ]
}