Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.
Come posso creare una policy IAM per controllare l'accesso alle risorse di EC2 tramite tag?
Desidero controllare l'accesso alle istanze Amazon Elastic Compute Cloud (Amazon EC2) tramite tag.
Risoluzione
Aggiungi un tag al gruppo di istanze Amazon EC2
Nota: i tag hanno requisiti specifici, come il limite di caratteri e il numero di tag per risorsa.
Apri la console Amazon EC2. Quindi aggiungi tag al gruppo di istanze EC2 per gli utenti o i gruppi pertinenti. Se non hai già un tag, creane uno nuovo.
Crea una policy IAM che conceda l'accesso alle istanze con un tag specifico
La policy IAM deve soddisfare le seguenti condizioni per concedere l'accesso alle istanze con un tag specifico:
- Consente il controllo delle istanze con il tag.
- Contiene un'istruzione condizionale che consente l'accesso alle risorse EC2 quando il valore della chiave di condizione ec2:ResourceTag/UserName corrisponde alla variabile di policy aws:username. Quando IAM valuta la policy, sostituisce la variabile di policy ${aws:username} con il nome descrittivo dell'utente IAM corrente.
- Consente l'accesso alle azioni ec2:Describe* per le risorse EC2.
- Nega esplicitamente l'accesso alle azioni ec2:CreateTags e ec2:DeleteTags. Ciò impedisce agli utenti di creare o eliminare tag anche quando hanno accesso alle istanze di controllo.
Nell'editor JSON, copia il seguente esempio di modello di policy:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:*", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/UserName": "${aws:username}" } } }, { "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }, { "Effect": "Deny", "Action": [ "ec2:CreateTags", "ec2:DeleteTags" ], "Resource": "*" } ] }
Nota: questa policy si applica alle istanze che utilizzano la chiave di condizione ec2:ResourceTag. Se desideri utilizzare i tag per impedire agli utenti di avviare nuove istanze, segui le istruzioni in Come posso usare i tag delle policy IAM per limitare la creazione e l'accesso a un'istanza EC2 o a un volume EBS?
Per i principali che non sono utenti IAM, come gli utenti federati, utilizza la variabile aws:userid invece di aws:username. La variabile aws:userid ha il valore account:caller-specified-name. Per ulteriori informazioni, consulta Elementi delle policy IAM: variabili e tag e Come posso utilizzare le variabili della policy IAM con utenti federati?
Collega la policy IAM agli utenti o ai gruppi che desideri accedano alle istanze
Per collegare la policy IAM agli utenti o ai gruppi, segui le istruzioni in Aggiunta di autorizzazioni per identità IAM (console). Puoi anche utilizzare l'Interfaccia della linea di comando AWS (AWS CLI) o l'API AWS.
Nota: se ricevi errori quando esegui i comandi dell'Interfaccia della linea di comando AWS (AWS CLI), consulta Risoluzione degli errori relativi ad AWS CLI. Inoltre, assicurati di utilizzare la versione più recente di AWS CLI.
Informazioni correlate
Granting required permissions for Amazon EC2 resources (Concessione delle autorizzazioni richieste per le risorse EC2)
Policy basate sull'identità per Amazon EC2
Tutorial IAM: definisci le autorizzazioni per accedere alle risorse AWS in base ai tag
- Argomenti
- Security, Identity, & Compliance
- Lingua
- Italiano
