Posso restringir o acesso do IAM Identity a recursos específicos do Amazon EC2?

2 minuto de leitura

Quero restringir o acesso de um usuário/grupo/perfil do AWS Identity and Access Management (IAM) a um recurso específico do Amazon Elastic Compute Cloud (Amazon EC2) na mesma conta. Como faço isso?

Resolução

O Amazon EC2 tem suporte parcial para permissões ou condições em nível de recurso. Isso significa que, para determinadas ações do Amazon EC2, você pode controlar quando os usuários podem usar essas ações com base em condições que precisam ser cumpridas ou em recursos específicos que os usuários podem usar.

Isolar usuários do IAM ou de grupos de acesso de usuários aos recursos do Amazon EC2 por qualquer critério que não seja a região da AWS não se encaixa na maioria dos casos de uso. Se você precisar isolar seus recursos por região ou por qualquer condição na mesma conta, certifique-se de verificar a lista de ações do Amazon EC2 que oferecem suporte a permissões e condições em nível de recurso para verificar se seu caso de uso é suportado.

Abaixo está um exemplo de uma política que pode ser usada para restringir o acesso de uma identidade do IAM (usuário/grupo/perfil) somente para iniciar/parar/reinicializar instâncias do EC2 na região da Virgínia do Norte (us-east-1). A instância deve ter uma chave de tag “Proprietário” com um valor de tag “Bob”. "ec2:Describe*" é adicionado à política para conceder permissão para descrever a instância do EC2 e todos os recursos associados no console EC2 de gerenciamento da AWS.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Owner": "Bob"
        }
      }
    }
  ]
}

Observação: substitua “Proprietário”, “Bob” e o ARN do recurso pelos parâmetros do seu ambiente.

Depois de criar a política, você pode anexá-la a um usuário, grupo ou perfil do IAM

Para marcar casos de uso e melhores práticas, consulte Práticas recomendadas.

Informações relacionadas

Políticas do IAM para o Amazon EC2

Gerenciamento de identidade e acesso para o Amazon EC2

Ações da API do Amazon EC2

Nomes do recurso da Amazon (ARNs)

Tópicos

Segurança, identidade e conformidade

Vídeos relacionados

Assista ao vídeo de Viswanath para saber mais (3:22)

AWS OFICIALAtualizada há 2 anos

Conteúdo relevante

Como faço para restringir o acesso para iniciar instâncias do Amazon EC2 somente a partir de AMIs marcadas?
AWS OFICIALAtualizada há 3 anos
Como faço para restringir as permissões do IAM de um usuário do Elastic Beanstalk a aplicativos específicos?
AWS OFICIALAtualizada há 4 anos
Como restringir o acesso a uma sessão de função específica, usando uma política baseada em identidade do IAM?
AWS OFICIALAtualizada há 2 anos
Como posso criar uma política do IAM para conceder explicitamente permissões a um usuário, grupo ou perfil do IAM para criar e gerenciar instâncias do EC2 em uma VPC especificada usando tags?
AWS OFICIALAtualizada há 3 anos