Desidero limitare l'accesso di un utente/gruppo/ruolo di AWS Identity and Access Management (IAM) a una specifica risorsa Amazon Elastic Compute Cloud (Amazon EC2) sullo stesso account. In che modo posso farlo?
Risoluzione
Amazon EC2 supporta parzialmente le autorizzazioni o le condizioni a livello di risorsa. Ciò significa che per determinate azioni di Amazon EC2, puoi controllare quando gli utenti possono utilizzare tali azioni in base alle condizioni che devono essere soddisfatte o a risorse specifiche che gli utenti possono utilizzare.
L'isolamento dell'accesso di utenti o gruppi di utenti IAM alle risorse Amazon EC2 in base a criteri diversi dalla regione AWS non si adatta alla maggior parte dei casi d'uso. Se devi isolare le tue risorse per regione o per qualsiasi condizione sullo stesso account, assicurati di controllare l'elenco delle azioni di Amazon EC2 che supportano le autorizzazioni e le condizioni a livello di risorsa per verificare che il tuo caso d'uso sia supportato.
Di seguito è riportato un esempio di policy che può essere utilizzata per limitare l'accesso di un'identità IAM (utente/gruppo/ruolo) solo alle istanze Avvia/Arresta/Riavvia EC2 nella regione Virginia settentrionale (us-east-1). L'istanza deve avere una chiave di tag "Proprietario" con un valore di tag "Bob." "ec2:describe*" viene aggiunto alla policy per concedere l'autorizzazione a descrivere l'istanza EC2 e tutte le risorse associate nella console di gestione AWS EC2.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Owner": "Bob"
}
}
}
]
}
Nota: Sostituisci "Proprietario", "Bob" e la risorsa ARN con i parametri del tuo ambiente.
Dopo aver creato la policy, puoi collegarla a un utente, gruppo o ruolo IAM
Per etichettare i casi d'uso e le best practice, consulta Best practices.
Informazioni correlate
Politiche IAM per Amazon EC2
Gestione delle identità e degli accessi per Amazon EC2
Azioni API Amazon EC2
Nomi delle risorse Amazon (ARN)