AWS re:Post Knowledge Center Feedback Survey

Help us improve the AWS re:Post Knowledge Center by sharing your feedback in a brief survey. Your input can influence how we create and update our content to better support your AWS journey.

Come posso limitare l'accesso delle identità IAM a specifiche risorse di Amazon EC2?

3 minuti di lettura

Desidero limitare l'accesso delle identità AWS Identity and Access Management (AWS IAM) a una specifica risorsa di Amazon Elastic Compute Cloud (Amazon EC2).

Breve descrizione

Amazon EC2 supporta parzialmente le autorizzazioni o le condizioni a livello di risorsa. Per controllare il modo in cui le identità IAM possono accedere a specifiche risorse di Amazon EC2, puoi utilizzare le autorizzazioni a livello di risorsa.

In alternativa, per controllare l'accesso alle risorse AWS in generale, puoi utilizzare ABAC (autorizzazione basata su tag). Per ulteriori informazioni, consulta Tutorial IAM: definisci le autorizzazioni per accedere alle AWS risorse in base ai tag.

Risoluzione

Utilizza il seguente esempio di policy IAM allo scopo di limitare l'accesso alle istanze Amazon EC2 per lo specifico caso d'uso. Quindi collega la policy all'identità IAM di cui desideri limitare l'accesso.

Limita l'accesso solo all'avvio, all'arresto o al riavvio di istanze

Il seguente esempio di policy limita l'accesso di un'identità IAM solo all'avvio, all'arresto o al riavvio di istanze EC2:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:Describe*",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:StartInstances",
                "ec2:StopInstances",
                "ec2:RebootInstances"
            ],
            "Resource": [
                "arn:aws:ec2:*:AccountId:instance/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/Owner": "Bob"
                }
            }
        }
    ]
}

Nota: sostituisci Owner con la chiave del tuo tag, Bob con il valore del tuo tag e AccountId con l'ID del tuo account AWS.

Per limitare altre risorse Amazon EC2 per Regione AWS, assicurati che le azioni supportino autorizzazioni e condizioni a livello di risorsa.

Limita l'avvio di istanze EC2 in base al tag

Il seguente esempio di policy utilizza la chiave del tag Owner per limitare l'accesso di un'identità IAM solo all'avvio di istanze EC2:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:RunInstances"
            ],
            "Resource": [
                "arn:aws:ec2:*:AccountId:instance/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "aws:RequestTag/Owner": "*"
                }
            }
        },
        {
            "Sid": "AllowRunInstances",
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ]
        },
        {
            "Sid": "AllowToDescribeAll",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCreateTagsOnLaunching",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:AccountId:*/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "RunInstances"
                    ]
                }
            }
        }
    ]
}

Nota: sostituisci Owner con la chiave del tuo tag e AccountId con l'ID del tuo account.

Limita l'avvio di istanze EC2 in base al tipo di istanza

Il seguente esempio di policy limita l'accesso di un'identità IAM solo all'avvio di istanze EC2 con tipo di istanza t3.*:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ec2:RunInstances"
            ],
            "Resource": [
                "arn:aws:ec2:*:AccountId:instance/*"
            ],
            "Condition": {
                "StringNotLike": {
                    "ec2:InstanceType": "t3.*"
                }
            }
        },
        {
            "Sid": "AllowRunInstances",
            "Effect": "Allow",
            "Action": "ec2:RunInstances",
            "Resource": [
                "arn:aws:ec2:*::image/*",
                "arn:aws:ec2:*::snapshot/*",
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:network-interface/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:key-pair/*",
                "arn:aws:ec2:*:*:instance/*",
                "arn:aws:ec2:*:*:volume/*"
            ]
        },
        {
            "Sid": "AllowToDescribeAll",
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AllowCreateTagsOnLaunching",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:AccountId:*/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "RunInstances"
                    ]
                }
            }
        }
    ]
}

Nota: sostituisci il tipo di istanza t3.* con il tuo tipo di istanza, ad esempio t3.nano. Inoltre, sostituisci AccountId con l'ID del tuo account.

Per ulteriori informazioni, consulta Convenzioni di denominazione dei tipi di istanza Amazon EC2.

Informazioni correlate

Come posso creare una policy IAM per controllare l'accesso alle risorse di EC2 tramite tag?

Come posso usare i tag delle policy IAM per limitare la creazione e l'accesso a un'istanza EC2 o a un volume EBS?

Policy basate sull'identità per Amazon EC2

Argomenti: Security, Identity, & Compliance
Tag: AWS Identity and Access Management
Lingua: Italiano

AWS UFFICIALEAggiornata 2 anni fa

Contenuto pertinente

Come posso usare i tag delle policy IAM per limitare la creazione e l'accesso a un'istanza EC2 o a un volume EBS?
AWS UFFICIALEAggiornata 2 anni fa
Come posso limitare l'accesso alla console CloudWatch?
AWS UFFICIALEAggiornata 2 anni fa
Come posso utilizzare una policy IAM basata sull'identità per limitare l'accesso a una specifica sessione di ruolo IAM?
AWS UFFICIALEAggiornata 5 mesi fa
Come posso creare una policy IAM per controllare l'accesso alle risorse di EC2 tramite tag?
AWS UFFICIALEAggiornata 7 mesi fa