Como crio uma política do IAM para controlar o acesso aos recursos do Amazon EC2 usando etiquetas?

3 minuto de leitura
0

Quero criar uma política do AWS Identity and Access Management (IAM) que controle o acesso a instâncias do Amazon Elastic Compute Cloud (Amazon EC2) por meio de etiquetas.

Breve descrição

Controle o acesso a implantações menores de instâncias do Amazon EC2 da seguinte forma:

  1. Adicione uma etiqueta específica às instâncias para as quais você deseja conceder acesso a usuários ou grupos.
  2. Crie uma política do IAM que conceda acesso a qualquer instância com a etiqueta específica.
  3. Anexe a política do IAM aos usuários ou grupos que você deseja que acessem as instâncias.

Resolução

Adicione uma etiqueta ao seu grupo de instâncias do EC2

Abra o console do Amazon EC2. Depois, adicione etiquetas ao grupo de instâncias do EC2 que você deseja que os usuários ou grupos consigam acessar. Se você ainda não tiver uma etiqueta, crie uma nova.
Observação: certifique-se de ler e compreender as restrições de etiquetas antes de marcar seus recursos com etiquetas. Etiquetas do Amazon EC2 diferenciam maiúsculas de minúsculas.

Crie uma política do IAM que conceda acesso às instâncias que possuem a etiqueta específica

Crie uma política do IAM que realize o seguinte:

  • Permita o controle sobre as instâncias que possuem a etiqueta.
  • Contenha uma declaração condicional permitindo acesso a recursos do Amazon EC2 se o valor da chave de condição ec2:ResourceTag/UserName corresponder à variável de política aws:username. A variável de política ${aws:username} é substituída pelo nome amigável do usuário atual do IAM quando a política é avaliada pelo IAM.
  • Permita acesso às ações ec2:Describe* para recursos do Amazon EC2.
  • Negue explicitamente o acesso às ações ec2:CreateTags e ec2:DeleteTags para impedir que os usuários criem ou excluam etiquetas. Isso evita que o usuário assuma o controle de uma instância do EC2 adicionando a etiqueta específica a ela.

A política finalizada é semelhante à seguinte:

Observação: esta política se aplica às instâncias do Amazon EC2 que usam a chave de condição ec2:ResourceTag. Para restringir a execução de novas instâncias do Amazon EC2 usando etiquetas, consulte Como posso usar as etiquetas de política do IAM para restringir a forma como uma instância do EC2 ou um volume do EBS podem ser criados?

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:*",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/UserName": "${aws:username}"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Deny",
      "Action": [
        "ec2:CreateTags",
        "ec2:DeleteTags"
      ],
      "Resource": "*"
    }
  ]
}

Observação: para entidades principais que não sejam usuários do IAM, como conjuntos de permissões do Centro de Identidade do IAM ou usuários federados, use a variável aws:userid em vez de aws:username. A variável aws:userid tem o valor account:caller-specified-name. Para obter mais informações, consulte Elementos de política do IAM: variáveis e etiquetas e Como uso variáveis de política do IAM com usuários federados?

Anexe a política do IAM aos usuários ou grupos que você deseja que acessem as instâncias

Anexe a política do IAM aos usuários ou grupos que você deseja que acessem as instâncias. Você pode anexar a política do IAM usando o Console de Gerenciamento da AWS, a AWS CLI ou a API da AWS.

Informações relacionadas

Conceder as permissões necessárias para os recursos do Amazon EC2

Políticas do IAM no Amazon EC2

Tutorial do IAM: definir permissões para acessar recursos da AWS com base em etiquetas

AWS OFICIAL
AWS OFICIALAtualizada há 3 meses