本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定對 EC2 序列主控台的存取
若要設定對序列主控台的存取權,您必須在帳戶層級授與序列主控台存取權,然後設定 IAM 政策以授予使用者存取權。
在開始之前,請務必檢查先決條件。
EC2 序列主控台的存取層級
依預設,帳戶層級無法存取序列主控台。您需要在帳戶層級明確授予對序列主控台的存取權。如需詳細資訊,請參閱 管理 EC2 序列主控台的帳戶存取。
您可以使用服務控制政策 (SCP) 來允許對組織內序列主控台的存取。然後,您可以使用 IAM 政策控制存取,在使用者層級進行精細的存取控制。透過組合使用 SCP 和 IAM 政策,您擁有對序列主控台不同層級的存取控制。
- 組織層級
-
您可以使用服務控制政策 (SCP) 來允許組織內成員帳戶存取序列主控台。如需 SCP 的詳細資訊,請參閱 AWS Organizations 使用者指南中的服務控制政策。
- 執行個體層級
-
您可以使用 IAM PrincipalTag 和 ResourceTag 建構,並透過 ID 指定執行個體,來設定序列主控台存取政策。如需詳細資訊,請參閱 設定 EC2 序列主控台存取的 IAM 政策。
- 使用者層級
-
您可以設定 IAM 政策,以允許或拒絕指定的使用者將 SSH 公開金鑰推送至特定執行個體的序列主控台服務的權限,從而在使用者層級設定存取。如需詳細資訊,請參閱 設定 EC2 序列主控台存取的 IAM 政策。
管理 EC2 序列主控台的帳戶存取
依預設,帳戶層級無法存取序列主控台。您需要在帳戶層級明確授予對序列主控台的存取權。
授予使用者管理帳戶存取的許可
若要允許使用者管理對 EC2 序列主控台的帳戶存取權,您必須授予他們所需的 IAM 許可。
下列政策會授與檢視帳戶狀態,以及允許和阻止帳戶存取 EC2 序列主控台的權限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:GetSerialConsoleAccessStatus", "ec2:EnableSerialConsoleAccess", "ec2:DisableSerialConsoleAccess" ], "Resource": "*" } ] }
如需詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 政策。
檢視序列主控台的帳戶存取狀態
檢視序列主控台 (主控台) 的帳戶存取狀態
在 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在左側導覽窗格中,選擇 EC2 Dashboard (EC2 儀表板)。
-
在 Account attributes (帳戶屬性) 中,選擇 EC2 Serial Console (EC2 序列主控台)。
EC2 Serial Console access (EC2 序列主控台存取) 欄位會指出是 Allowed (允許) 還是 Prevented (禁止) 帳戶存取。
下列螢幕擷取畫面顯示該帳戶被禁止使用 EC2 序列主控台。
檢視序列主控台的帳戶存取狀態 (AWS CLI)
使用 get-serial-console-access-status 指令可檢視序列主控台的帳戶存取狀態。
aws ec2 get-serial-console-access-status --regionus-east-1
在下面的輸出中,true 表示允許該帳戶存取序列控制台。
{ "SerialConsoleAccessEnabled": true }
授與序列主控台的帳戶存取權
授與序列主控台 (主控台) 的帳戶存取權
在 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在左側導覽窗格中,選擇 EC2 Dashboard (EC2 儀表板)。
-
在 Account attributes (帳戶屬性) 中,選擇 EC2 Serial Console (EC2 序列主控台)。
-
選擇 Manage (管理)。
-
若要允許存取帳戶中所有執行個體的 EC2 序列主控台,請選取 Allow (允許) 核取方塊。
-
選擇 Update (更新)。
授與帳戶存取序列主控台 (AWS CLI)
使用指enable-serial-console-access令可允許帳戶存取序列主控台。
aws ec2 enable-serial-console-access --regionus-east-1
在下面的輸出中,true 表示允許該帳戶存取序列控制台。
{ "SerialConsoleAccessEnabled": true }
拒絕帳戶存取序列主控台
拒絕帳戶存取序列主控台 (主控台)
在 https://console.aws.amazon.com/ec2/
開啟 Amazon EC2 主控台。 -
在左側導覽窗格中,選擇 EC2 Dashboard (EC2 儀表板)。
-
在 Account attributes (帳戶屬性) 中,選擇 EC2 Serial Console (EC2 序列主控台)。
-
選擇 Manage (管理)。
-
若要阻止存取帳戶中所有執行個體的 EC2 序列主控台,請清除 Allow (允許) 核取方塊。
-
選擇 Update (更新)。
拒絕帳戶存取序列主控台 (AWS CLI)
使用此指disable-serial-console-access令可防止帳戶存取序列主控台。
aws ec2 disable-serial-console-access --regionus-east-1
在下面的輸出中,false 表示該帳戶被拒絕存取序列控制台。
{ "SerialConsoleAccessEnabled": false }
設定 EC2 序列主控台存取的 IAM 政策
依預設,使用者無法存取序列主控台。您的組織必須設定 IAM 政策,以授予使用者所需的存取權。如需詳細資訊,請參閱《IAM 使用者指南》中的建立 IAM 政策。
若要存取序列主控台,請建立包含 ec2-instance-connect:SendSerialConsoleSSHPublicKey 動作的 JSON 政策文件。此動作會授予使用者將公有金鑰推送至序列主控台服務的許可,此服務會啟動序列主控台工作階段。建議限制對特定 EC2 執行個體的存取。否則,擁有此許可的所有使用者都可以連線到所有 EC2 執行個體的序列主控台。
明確允許存取序列主控台
依預設,沒有人可以存取序列主控台。若要授與對序列主控台的存取權,您必須設定政策以明確允許存取。建議您設定限制存取特定執行個體的政策。
下列政策允許存取特定執行個體的序列主控台,並依其執行個體 ID 進行識別。
請注意,DescribeInstances、DescribeInstanceTypes、和 GetSerialConsoleAccessStatus 動作不支援資源層級許可,因此為這些動作指定所有資源,以 * (星號) 表示。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowinstanceBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }
明確拒絕存取序列主控台
下列 IAM 政策允許存取所有執行個體的序列主控台 (以 * (星號) 表示),並明確拒絕存取特定執行個體的序列主控台 (依其 ID 進行識別)。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey", "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "DenySerialConsoleAccess", "Effect": "Deny", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/i-0598c7d356eba48d7" } ] }
使用資源標籤來控制對序列主控台的存取
您可以使用資源標籤來控制對執行個體序列主控台的存取。
以屬性為基礎的存取控制是一種授權策略,根據可附加至使用者和 AWS 資源的標籤來定義權限。例如,下列政策允許使用者啟動執行個體的序列主控台連線,只有當該執行個體的資源標籤和主參與者的標籤具有相同的標籤鍵 SerialConsole 值時,才能啟動執行個體的序列主控台連線。
如需有關使用標籤來控制 AWS 資源存取權的詳細資訊,請參閱 IAM 使用者指南中的控制 AWS 資源存取。
請注意,DescribeInstances、DescribeInstanceTypes、和 GetSerialConsoleAccessStatus 動作不支援資源層級許可,因此為這些動作指定所有資源,以 * (星號) 表示。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AllowDescribeInstances", "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeInstanceTypes", "ec2:GetSerialConsoleAccessStatus" ], "Resource": "*" }, { "Sid": "AllowTagBasedSerialConsoleAccess", "Effect": "Allow", "Action": [ "ec2-instance-connect:SendSerialConsoleSSHPublicKey" ], "Resource": "arn:aws:ec2:region:account-id:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/SerialConsole": "${aws:PrincipalTag/SerialConsole}" } } } ] }
