View a markdown version of this page

Concessione di un’autorizzazione IAM per EC2 Instance Connect - Amazon Elastic Compute Cloud

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Concessione di un’autorizzazione IAM per EC2 Instance Connect

Per connetterti all’istanza tramite EC2 Instance Connect, devi creare una policy IAM che concede agli utenti le autorizzazioni per le seguenti operazioni e condizioni:

  • Operazione ec2-instance-connect:SendSSHPublicKey: concede l’autorizzazione per inviare la chiave pubblica a un’istanza.

  • Condizione ec2:osuser: specifica il nome dell’utente del sistema operativo che può inviare la chiave pubblica a un’istanza. Utilizza il nome utente predefinito per l’AMI che è stata utilizzata per avviare l’istanza. Il nome utente predefinito per AL2023 e Amazon Linux 2 è ec2-user e ubuntu per Ubuntu.

  • Operazione ec2:DescribeInstances: obbligatoria quando si utilizza la console EC2 perché il wrapper richiama questa operazione. Gli utenti potrebbero già disporre dell’autorizzazione per richiamare questa operazione da un’altra policy.

  • Operazione ec2:DescribeVpcs – Obbligatoria per la connessione a un indirizzo IPv6.

Considera la possibilità di limitare l’accesso a specifiche istanze EC2. In caso contrario, tutti i principali IAM con l’autorizzazione per l’operazione ec2-instance-connect:SendSSHPublicKey possono connettersi a tutte le istanze EC2. Puoi limitare l’accesso specificando gli ARN delle risorse o utilizzando i tag risorsa come chiavi di condizione.

Per ulteriori informazioni, consulta Operazioni, risorse e chiavi di condizione per Amazon EC2 Instance Connect.

Per informazioni sulla creazione di una policy IAM, consulta Creazione di policy IAM nella Guida per l’utente di IAM.

Consentire agli utenti di connettersi a istanze specifiche

La seguente policy IAM concede l’autorizzazione per connettersi a istanze specifiche, identificate dai relativi ARN delle risorse.

Nel seguente esempio di policy IAM, vengono specificate le operazioni e le condizioni seguenti:

  • L’operazione ec2-instance-connect:SendSSHPublicKey concede agli utenti l’autorizzazione per connettersi a due istanze, specificate dagli ARN delle risorse. Per concedere agli utenti l’autorizzazione per connettersi a tutte le istanze EC2, sostituisci gli ARN della risorsa con il carattere jolly *.

  • La ec2:osuser condizione concede l'autorizzazione a connettersi alle istanze solo se ami-username viene specificata al momento della connessione.

  • L'operazione ec2:DescribeInstances è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere ec2:DescribeInstances. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

  • L’operazione ec2:DescribeVpcs è specificata per concedere l’autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze con un indirizzo IPv6. Se i tuoi utenti utilizzeranno solo un indirizzo IPv4, puoi ometterlo ec2:DescribeVpcs. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": [ "arn:aws:ec2:us-east-1:111122223333:instance/i-1234567890abcdef0", "arn:aws:ec2:us-east-1:111122223333:instance/i-0598c7d356eba48d7" ], "Condition": { "StringEquals": { "ec2:osuser": "ami-username" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVpcs" ], "Resource": "*" } ] }

Consentire agli utenti di connettersi alle istanze con tag specifici

Attribute-based il controllo degli accessi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Puoi utilizzare i tag delle risorse per controllare l’accesso a un’istanza. Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta Controlling access to AWS resources nella IAM User Guide.

Nel seguente esempio di policy IAM, l’operazione ec2-instance-connect:SendSSHPublicKey concede agli utenti l’autorizzazione per connettersi a qualsiasi istanza (indicata dal carattere jolly * nell’ARN della risorsa) a condizione che l’istanza abbia un tag di risorsa con key=tag-key e value=tag-value.

L’operazione ec2:DescribeInstances è specificata per concedere l’autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere ec2:DescribeInstances. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

L’operazione ec2:DescribeVpcs è specificata per concedere l’autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze con un indirizzo IPv6. Se i tuoi utenti utilizzeranno solo un indirizzo IPv4, puoi ometterlo ec2:DescribeVpcs. Le operazioni API ec2:Describe* non supportano le autorizzazioni a livello di risorsa. Il carattere jolly * è quindi necessario nell’elemento Resource.

JSON
{ "Version":"2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": "arn:aws:ec2:us-east-1:111122223333:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/tag-key": "tag-value" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVpcs" ], "Resource": "*" } ] }