AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Comment puis-je créer une politique IAM pour contrôler l’accès aux ressources Amazon EC2 par le biais d’identifications ?

Lecture de 3 minute(s)

Je souhaite contrôler l'accès aux instances Amazon Elastic Compute Cloud (Amazon EC2) par le biais d’identifications.

Résolution

Ajouter une identification à votre groupe d’instances Amazon EC2

Remarque : Les identifications présentent des exigences spécifiques, telles que la limite de caractères et le nombre d’identifications par ressource.

Ouvrez la console Amazon EC2. Puis, ajoutez des identifications au groupe d'instances EC2 pour les utilisateurs ou les groupes concernés. Si vous n’avez pas encore d’identification, créez-en une nouvelle.

Créer une politique IAM autorisant l’accès aux instances dotées d’une identification spécifique

Votre politique IAM doit remplir les conditions suivantes pour accorder l'accès aux instances dotées d’une identification spécifique :

Autorisez le contrôle des instances dotées de l’identification.
Contient une instruction conditionnelle qui autorise l’accès aux ressources EC2 lorsque la valeur de la clé de condition ec2:ResourceTag/UserName correspond à la variable de politique aws:username. Lorsque IAM évalue la politique, il remplace la variable de politique ${aws:username} par le nom convivial de l'utilisateur IAM actuel.
Autorisez l'accès aux actions ec2:Describe* pour les ressources EC2.
Refusez explicitement l'accès aux actions ec2:CreateTags et ec2:DeleteTags. Cela empêche les utilisateurs de créer ou de supprimer des identifications même lorsqu'ils ont accès à des instances de contrôle.

Dans votre éditeur JSON, copiez l'exemple de modèle de politique suivant :

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/UserName": "${aws:username}"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ec2:CreateTags",
        "ec2:DeleteTags"
      ],
      "Resource": "*"
    }
  ]
}

Remarque : Cette politique s’applique aux instances qui utilisent la clé de condition ec2:ResourceTag. Si vous souhaitez utiliser des identifications pour empêcher les utilisateurs de lancer de nouvelles instances, suivez les instructions figurant dans la section Comment utiliser les identifications de politique IAM pour restreindre la création et l'accès à une instance EC2 ou à un volume EBS ?

Pour les principaux qui ne sont pas des utilisateurs IAM, tels que les utilisateurs fédérés, utilisez la variable aws:userid à la place de aws:username. La valeur de la variable aws:userid est account:caller-specified-name. Pour en savoir plus, consultez les sections Éléments de la politique IAM : Variables et identifications et Comment utiliser des variables de politique IAM avec des utilisateurs fédérés ?

Associer la politique IAM aux utilisateurs ou aux groupes auxquels vous souhaitez accorder un accès aux instances

Pour associer la politique IAM à vos utilisateurs ou groupes, suivez les instructions figurant dans la section Ajouter des autorisations d'identité IAM (console). Vous pouvez également utiliser l’interface de la ligne de commande AWS (AWS CLI) ou l’API AWS.

Remarque : Si des erreurs surviennent lorsque vous exécutez des commandes de l’interface de la ligne de commande AWS (AWS CLI), consultez la section Résoudre les erreurs liées à l’AWS CLI. Vérifiez également que vous utilisez bien la version la plus récente de l'interface.

Informations connexes

Octroi des autorisations requises pour les ressources Amazon EC2

Politiques basées sur l'identité sur Amazon EC2

Didacticiel IAM : Définir des autorisations d’accès aux ressources AWS en fonction des identifications

Ajouter des identifications aux ressources Amazon EC2

Sujets: Security, Identity, & Compliance
Balises: AWS Identity and Access Management
Langue: Français

Vidéos associées

Regarder la vidéo de Young pour en savoir plus (7:50)

AWS OFFICIELA mis à jour il y a 3 mois

Aucun commentaire

Contenus pertinents

Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a 2 ans
Impossible de créer une instance ECS dans un atelier ( LAB skill builder)
koffi
demandé il y a 4 mois
Lancement d'une instance Ec2 via CLI Terraform
abdelaziz
demandé il y a un an
démarrage d'instances a mon insu
marc
demandé il y a 2 ans
récupération gestions Instance EC2 comptes membres
PatriceB
demandé il y a 4 mois
Comment les clés de condition PrincipalTag, ResourceTag, RequestTag et TagKeys contrôlent-elles l'accès dans les politiques IAM ?
AWS OFFICIELA mis à jour il y a 2 mois
Comment la logique d'évaluation IAM d’une politique de refus explicite fonctionne-t-elle lorsque plusieurs clés de condition sont définies ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment créer une politique IAM afin d’accorder explicitement des autorisations de création et de gestion d'instances EC2 dans un VPC spécifié doté de balises ?
AWS OFFICIELA mis à jour il y a 2 ans
Comment puis-je restreindre l’accès pour que les utilisateurs lancent des instances Amazon EC2 uniquement à partir d’AMI balisées ?
AWS OFFICIELA mis à jour il y a 2 ans