Comment puis-je créer une politique IAM pour contrôler l’accès aux ressources Amazon EC2 par le biais de balises ?

Lecture de 3 minute(s)

Je souhaite créer une politique AWS Identity and Access Management (AWS IAM) qui contrôle l’accès aux instances Amazon Elastic Compute Cloud (Amazon EC2) par le biais de balises.

Brève description

Contrôlez l’accès aux petits déploiements d’instances Amazon EC2 comme suit :

Ajoutez une balise spécifique aux instances auxquelles vous souhaitez autoriser les utilisateurs ou les groupes à accéder.
Créez une politique IAM qui autorise l’accès à toutes les instances dotées de la balise spécifique.
Attachez la politique IAM aux utilisateurs ou aux groupes auxquels vous souhaitez accorder un accès aux instances.

Résolution

Ajouter une balise à votre groupe d’instances EC2

Ouvrez la console Amazon EC2. Ensuite, ajoutez des balises au groupe d’instances EC2 auquel vous souhaitez que les utilisateurs ou les groupes puissent accéder. Si vous n’avez pas encore de balise, créez-en une nouvelle.
Remarque : assurez-vous de lire et de comprendre les restrictions relatives aux balises avant de baliser vos ressources. Les balises Amazon EC2 sont sensibles à la casse.

Créer une politique IAM autorisant l’accès aux instances dotées de la balise spécifique

Créez une politique IAM qui :

Autorise le contrôle des instances dotées de la balise.
Contient une instruction conditionnelle qui autorise l’accès aux ressources Amazon EC2 si la valeur de la clé de condition ec2:ResourceTag/UserName correspond à la variable de politique aws:username. La variable de politique ${aws:username} est remplacée par le nom convivial de l’utilisateur IAM actuel lorsque la politique est évaluée par IAM.
Autorise l’accès aux actions ec2:Describe* pour les ressources Amazon EC2.
Refuse explicitement l’accès aux actions ec2:CreateTags et ec2:DeleteTags pour empêcher les utilisateurs de créer ou de supprimer des balises. Cette mesure empêche l’utilisateur de prendre le contrôle d’une instance EC2 en y ajoutant la balise spécifique.

La politique finale ressemble à l’exemple suivant :

Remarque : cette politique s’applique aux instances Amazon EC2 qui utilisent la clé de condition ec2:ResourceTag. Pour restreindre le lancement de nouvelles instances Amazon EC2 à l’aide de balises, consultez la page Comment puis-je utiliser les balises de politique IAM pour restreindre le mode de création d’une instance EC2 ou d’un volume EBS ?

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/UserName": "${aws:username}"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ec2:CreateTags",
        "ec2:DeleteTags"
      ],
      "Resource": "*"
    }
  ]
}

Remarque : pour les principaux qui ne sont pas des utilisateurs IAM, tels que les jeux d’autorisations IAM Identity Center ou les utilisateurs fédérés, utilisez la variable aws:userid au lieu de aws:username. La valeur de la variable aws:userid est account:caller-specified-name. Pour en savoir plus, consultez les pages Éléments de politique IAM : variables et balises et Comment utiliser des variables de politique IAM avec des utilisateurs fédérés ?

Attacher la politique IAM aux utilisateurs ou aux groupes auxquels vous souhaitez accorder un accès aux instances

Attachez la politique IAM aux utilisateurs ou aux groupes auxquels vous souhaitez accorder un accès aux instances. Vous pouvez attacher la politique IAM à l’aide de la console de gestion AWS, de l’interface de la ligne de commande AWS ou de l’API AWS.

Informations connexes

Octroi des autorisations requises pour les ressources Amazon EC2

Politiques IAM pour Amazon EC2

Tutoriel IAM : définition des autorisations d’accès aux ressources AWS en fonction des balises

Sujets

Sécurité, identité et conformité

Balises

AWS Identity and Access Management

Langue

Français

Vidéos associées

Regarder la vidéo de Young pour en savoir plus (7:50)

AWS OFFICIELA mis à jour il y a 4 mois

Aucun commentaire

Contenus pertinents

Connexion base RDS Postgres à Power Bi Pro
GOT
demandé il y a 3 mois
Quels services AWS sont nécessaires pour remplacer une base de données MySQL classique ?
rePost-User-8854683
demandé il y a un an
Créer un enregistrement
Réponse acceptée
Tikki
demandé il y a 3 mois
Impossible d'afficher la page de modification WAF sur une distribution Cloudfront
Réponse acceptée
Adesin
demandé il y a 6 mois
Comment s'assurer que toutes les ressources sont désactivées ?
rePost-User-2282818
demandé il y a un an
Comment résoudre l'erreur « Did not have IAM permissions to process tags on AWS::EC2::Instance resource » (Autorisations IAM indisponibles pour traiter les balises sur AWS። EC2። Instance resource) lorsque je crée une ressource AWS። EC2። Instance dans CloudFormation ?
AWS OFFICIELA mis à jour il y a 3 ans
Comment puis-je créer une stratégie IAM pour la restriction basée sur des balises avec les clés de condition PrincipalTag, ResourceTag, RequestTag et TagKeys ?
AWS OFFICIELA mis à jour il y a un an
Comment créer des instances Amazon EC2 via CloudFormation lorsque la politique IAM pour RunInstances présente des restrictions basées sur les balises ?
AWS OFFICIELA mis à jour il y a un an
Comment puis-je accorder à mon instance Amazon EC2 l’accès à un compartiment Amazon S3 ?
AWS OFFICIELA mis à jour il y a 2 ans