Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Autorizzazioni IAM richieste per i modelli di EC2 lancio di Amazon

PDF
RSS
Modalità Focus
Autorizzazioni IAM richieste per i modelli di EC2 lancio di Amazon - Amazon Elastic Compute Cloud
ec2: CreateLaunchTemplateec2: DescribeLaunchTemplatesec2: DescribeLaunchTemplateVersionsec2: DeleteLaunchTemplateControllo delle autorizzazioni di controllo delle versioniControllo dell'accesso ai tag sui modelli di avvio

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

È possibile utilizzare le autorizzazioni IAM per controllare se gli utenti possono elencare, visualizzare, creare o eliminare modelli di avvio o versioni dei modelli di avvio.

Importante

Non puoi utilizzare le autorizzazioni a livello di risorsa per limitare le risorse che gli utenti possono specificare in un modello di avvio quando creano un modello di avvio o una versione del modello di avvio. Pertanto, assicurati che solo gli amministratori fidati abbiano l'autorizzazione per creare modelli di avvio e versioni dei modelli di avvio.

Devi concedere a chiunque utilizzerà un modello di avvio le autorizzazioni richieste per creare e accedere alle risorse specificate nel modello di avvio. Per esempio:

  • Per avviare un'istanza da un'Amazon Machine Image (AMI) privata condivisa, l'utente deve disporre dell'autorizzazione di avvio per l'AMI.

  • Per creare volumi EBS con tag provenienti da snapshot esistenti, l'utente deve disporre dell'accesso in lettura agli snapshot e delle autorizzazioni per creare e applicare tag ai volumi.

ec2: CreateLaunchTemplate

Per creare un modello di avvio nella console o utilizzando il APIs, il principale deve disporre dell'ec2:CreateLaunchTemplateautorizzazione in una policy IAM. Quando possibile, è consigliabile utilizzare i tag per controllare l'accesso ai modelli di avvio nell'account.

Ad esempio, la seguente istruzione di policy IAM fornisce al principale l'autorizzazione per creare modelli di avvio solo se il modello utilizza il tag specificato (purpose=testing).

{
    "Sid": "IAMPolicyForCreatingTaggedLaunchTemplates",
    "Action": "ec2:CreateLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/purpose": "testing"
        }
    }
}

I principali che creano i modelli di avvio potrebbero richiedere alcune autorizzazioni correlate, come ad esempio:

  • ec2: CreateTags — Per aggiungere tag al modello di avvio durante l'CreateLaunchTemplateoperazione, il CreateLaunchTemplate chiamante deve disporre dell'ec2:CreateTagsautorizzazione in una policy IAM.

  • ec2: RunInstances — Per avviare EC2 le istanze dal modello di avvio che ha creato, il principale deve inoltre disporre dell'ec2:RunInstancesautorizzazione in una policy IAM.

Per le operazioni di creazione delle risorse in cui vengono applicati i tag, gli utenti devono disporre dell'autorizzazione ec2:CreateTags. La seguente istruzione di policy IAM utilizza la chiave di condizione ec2:CreateAction per consentire agli utenti di creare i tag soltanto nel contesto di CreateLaunchTemplate. Gli utenti non possono aggiungere tag ai modelli di avvio o altre risorse esistenti. Per ulteriori informazioni, consulta Concedi l'autorizzazione a taggare EC2 le risorse Amazon durante la creazione.

{
    "Sid": "IAMPolicyForTaggingLaunchTemplatesOnCreation",
    "Action": "ec2:CreateTags",
    "Effect": "Allow",
    "Resource": "arn:aws:ec2:region:account-id:launch-template/*",
    "Condition": {
        "StringEquals": {
            "ec2:CreateAction": "CreateLaunchTemplate"
        }
    }
}

L'utente IAM che crea un modello di avvio non dispone automaticamente dell'autorizzazione a utilizzare il modello di avvio che ha creato. Come qualsiasi altro principale, il creatore del modello di avvio deve ottenere l'autorizzazione tramite una policy IAM. Se un utente IAM desidera avviare un' EC2 istanza da un modello di avvio, deve disporre dell'ec2:RunInstancesautorizzazione. Quando concedi queste autorizzazioni, puoi specificare che gli utenti possono utilizzare solo modelli di lancio con tag specifici o specifici. IDs Inoltre, è possibile controllare l'AMI e altre risorse alle quali chiunque utilizzi i modelli di avvio può fare riferimento e che può utilizzare per avviare le istanze specificando le autorizzazioni a livello di risorsa per la chiamata RunInstances. Per esempi di policy, consulta Modelli di lancio.

ec2: DescribeLaunchTemplates

Per elencare e visualizzare i modelli di avvio nell'account, il principale deve disporre dell'autorizzazione ec2:DescribeLaunchTemplates in una policy IAM. Dato che le operazioni Describe non supportano le autorizzazioni a livello di risorsa, devono essere specificate senza condizioni e il valore dell'elemento risorsa nella policy deve essere "*".

Ad esempio, la seguente istruzione di policy IAM concede al principale l'autorizzazione per elencare e visualizzare tutti i modelli di avvio nell'account.

{
    "Sid": "IAMPolicyForDescribingLaunchTemplates",
    "Action": "ec2:DescribeLaunchTemplates",
    "Effect": "Allow",
    "Resource": "*"
}

ec2: DescribeLaunchTemplateVersions

I responsabili che elencano e visualizzano i modelli di avvio dovrebbero inoltre disporre dell'autorizzazione ec2:DescribeLaunchTemplateVersions per recuperare l'intero set di attributi che compongono i modelli di avvio.

Per elencare e visualizzare le versioni del modello di avvio nell'account, il principale deve disporre dell'autorizzazione ec2:DescribeLaunchTemplateVersions in una policy IAM. Dato che le operazioni Describe non supportano le autorizzazioni a livello di risorsa, devono essere specificate senza condizioni e il valore dell'elemento risorsa nella policy deve essere "*".

Ad esempio, la seguente istruzione di policy IAM concede al principale l'autorizzazione per elencare e visualizzare tutte le versioni del modello di avvio nell'account.

{
    "Sid": "IAMPolicyForDescribingLaunchTemplateVersions",
    "Effect": "Allow",
    "Action": "ec2:DescribeLaunchTemplateVersions",
    "Resource": "*"
}

ec2: DeleteLaunchTemplate

Importante

È necessario prestare attenzione quando si concedono ai principali le autorizzazioni per eliminare una risorsa. L'eliminazione di un modello di avvio potrebbe causare un errore in una AWS risorsa che si basa sul modello di avvio.

Per eliminare un modello di avvio, il principale deve disporre dell'autorizzazione ec2:DeleteLaunchTemplate in una policy IAM. Quando possibile, si consiglia di utilizzare le chiavi di condizione basate su tag per limitare le autorizzazioni.

Ad esempio, la seguente istruzione di policy IAM concede al principale l'autorizzazione per eliminare modelli di avvio solo se il modello dispone del tag specificato (purpose=testing).

{
    "Sid": "IAMPolicyForDeletingLaunchTemplates",
    "Action": "ec2:DeleteLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/purpose": "testing"
        }
    }
}

In alternativa, puoi utilizzarlo ARNs per identificare il modello di lancio a cui si applica la policy IAM.

Un modello di avvio ha il seguente ARN.

"Resource": "arn:aws:ec2:region:account-id:launch-template/lt-09477bcd97b0d310e"

Puoi specificarne più ARNs di uno racchiudendoli in un elenco oppure puoi specificare un Resource valore "*" senza l'Conditionelemento per consentire al responsabile di eliminare qualsiasi modello di lancio nell'account.

Controllo delle autorizzazioni di controllo delle versioni

Agli amministratori attendibili, è possibile concedere l'accesso per la creazione e l'eliminazione delle versioni di un modello di avvio e per modificare la versione predefinita di un modello di avvio utilizzando policy IAM simili agli esempi seguenti.

Importante

Fai attenzione quando concedi ai principali il permesso di creare versioni dei modelli di avvio o modificare i modelli di avvio.

  • Quando crei una versione modello di lancio, influisci su tutte AWS le risorse che consentono EC2 ad Amazon di avviare istanze per tuo conto con la Latest versione.

  • Quando modifichi un modello di lancio, puoi cambiare la versione Default e quindi influire su tutte AWS le risorse che consentono EC2 ad Amazon di avviare istanze per tuo conto con questa versione modificata.

Inoltre, devi essere cauto nel modo in cui gestisci AWS le risorse che interagiscono con la versione del modello Latest o la Default lanciano, come EC2 Fleet e Spot Fleet. Quando viene utilizzata una versione del modello di lancio diversa per Latest oDefault, Amazon EC2 non ricontrolla le autorizzazioni degli utenti per le azioni da completare al momento del lancio di nuove istanze per soddisfare la capacità target della flotta, perché non vi è alcuna interazione dell'utente con la risorsa. AWS Concedendo a un utente l'autorizzazione a chiamare CreateLaunchTemplateVersion and ModifyLaunchTemplate APIs, all'utente viene effettivamente concessa l'iam:PassRoleautorizzazione anche se indirizza la flotta verso una versione diversa del modello di lancio che contiene un profilo di istanza (un contenitore per un ruolo IAM). Significa che un utente può potenzialmente aggiornare un modello di avvio per passare un ruolo IAM a un'istanza anche se non dispone dell'autorizzazione iam:PassRole. È possibile gestire questo rischio prestando attenzione quando si concedono le autorizzazioni a chi può creare e gestire le versioni dei modelli di avvio.

ec2: CreateLaunchTemplateVersion

Per creare una nuova versione di un modello di avvio, il principale deve disporre dell'autorizzazione ec2:CreateLaunchTemplateVersion per il modello di avvio in una policy IAM.

Ad esempio, la seguente istruzione di policy IAM concede al principale l'autorizzazione per creare versioni dei modelli di avvio solo se la versione utilizza il tag specificato (environment=production). In alternativa, puoi specificare uno o più modelli ARNs di lancio oppure puoi specificare un Resource valore "*" senza l'Conditionelemento per consentire al principale di creare versioni di qualsiasi modello di lancio nell'account. 

{
    "Sid": "IAMPolicyForCreatingLaunchTemplateVersions",
    "Action": "ec2:CreateLaunchTemplateVersion",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/environment": "production"
        }
    }
}

ec2: DeleteLaunchTemplateVersion

Importante

Come sempre, è necessario prestare attenzione quando si concedono le autorizzazioni per eliminare una risorsa. L'eliminazione di una versione del modello di avvio potrebbe causare un errore in una AWS risorsa che si basa sulla versione del modello di avvio.

Per eliminare una versione di un modello di avvio, il principale deve disporre dell'autorizzazione ec2:DeleteLaunchTemplateVersion per il modello di avvio in una policy IAM.

Ad esempio, la seguente istruzione di policy IAM concede al principale l'autorizzazione per eliminare versioni dei modelli di avvio solo se la versione utilizza il tag specificato (environment=production). In alternativa, puoi specificare uno o più modelli ARNs di lancio oppure puoi specificare un Resource valore "*" senza l'Conditionelemento per consentire al principale di eliminare le versioni di qualsiasi modello di lancio nell'account.

{
    "Sid": "IAMPolicyForDeletingLaunchTemplateVersions",
    "Action": "ec2:DeleteLaunchTemplateVersion",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/environment": "production"
        }
    }
}

ec2: ModifyLaunchTemplate

Per modificare la versione Default associata a un modello di avvio, il principale deve disporre dell'autorizzazione ec2:ModifyLaunchTemplate per il modello di avvio in una policy IAM.

Ad esempio, la seguente istruzione di policy IAM concede al principale l'autorizzazione per modificare i modelli di avvio solo se il modello di avvio utilizza il tag specificato (environment=production). In alternativa, puoi specificare uno o più modelli ARNs di lancio oppure puoi specificare un Resource valore "*" senza l'Conditionelemento per consentire al principale di modificare qualsiasi modello di lancio nell'account.

{
    "Sid": "IAMPolicyForModifyingLaunchTemplates",
    "Action": "ec2:ModifyLaunchTemplate",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "aws:ResourceTag/environment": "production"
        }
    }
}

Controllo dell'accesso ai tag sui modelli di avvio

È possibile utilizzare le chiavi di condizione per limitare le autorizzazioni di applicazione di tag quando la risorsa è un modello di avvio. Ad esempio, la seguente policy IAM consente di rimuovere solo il tag con la chiave temporary dai modelli di avvio nell'account e nella regione specificati.

{
    "Sid": "IAMPolicyForDeletingTagsOnLaunchTemplates",
    "Action": "ec2:DeleteTags",
    "Effect": "Allow",
    "Resource": "arn:aws:ec2:region:account-id:launch-template/*",
    "Condition": {
        "ForAllValues:StringEquals": {
            "aws:TagKeys": ["temporary"]
        }
    }
}

Per ulteriori informazioni sulle chiavi delle condizioni che puoi utilizzare per controllare le chiavi e i valori dei tag che possono essere applicati alle EC2 risorse Amazon, consultaControllo dell'accesso a tag specifici.

In questa pagina

Related resources

Guida ai tipi di EC2 istanze Amazon
Guida per l'utente di Amazon EBS
Guida per EC2 sviluppatori Amazon

Related resources

Guida ai tipi di EC2 istanze Amazon
Guida per l'utente di Amazon EBS
Guida per EC2 sviluppatori Amazon
PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.