Veröffentlicht am: Mar 6, 2023

Sie können jetzt Credential Control Properties verwenden, um die Verwendung Ihrer IAM-Rollen für EC2 einfacher einzuschränken.

Mit IAM-Rollen für EC2 können Ihre Anwendungen API-Anfragen sicher stellen, ohne dass Sie die Sicherheitsanmeldeinformationen direkt verwalten müssen. Temporäre und rotierende IAM-Anmeldeinformationen werden automatisch mit den Berechtigungen, die Sie für die Rolle definiert haben, für den Metadatenservice Ihrer Instanzen bereitgestellt. Ihre Anwendungen rufen dann (normalerweise über die AWS SDKs oder CLI) diese temporären Anmeldeinformationen ab und verwenden sie. 

Wenn Sie den Netzwerkstandort, an dem diese Anmeldeinformationen verwendet werden konnten, einschränken wollten, mussten Sie bisher die VPC-IDs und/oder IP-Adressen der Rollen in der Rollenrichtlinie oder der VPC-Endpunktrichtlinie fest codieren. Dies erforderte administrativen Aufwand und potenziell viele verschiedene Richtlinien für verschiedene Rollen, VPCs usw. 

Jeder Rollennachweis hat jetzt zwei neue Eigenschaften, bei denen es sich um globale AWS-Bedingungsschlüssel handelt, die Informationen über die Instance hinzufügen, von der aus sie ursprünglich ausgestellt wurden. Diese Eigenschaften, die VPC-ID und die primäre private IP-Adresse der Instanz, können in IAM-Richtlinien, Service Control Policies (SCPs), VPC-Endpunktrichtlinien oder Ressourcenrichtlinien verwendet werden, um den Netzwerkstandort, von dem die Anmeldeinformationen stammen, mit dem Ort zu vergleichen, an dem die Anmeldeinformationen verwendet werden. Mit allgemein gültigen Richtlinien können Sie die Verwendung Ihrer Rollenanmeldeinformationen jetzt nur noch auf den Ort beschränken, von dem sie stammen. Beispiele für diese Richtlinien finden Sie in diesem Blogbeitrag. Verwenden Sie beim Erstellen von IAM-Rollen wie bei jedem IAM-Prinzipal IAM-Richtlinien mit den geringsten Rechten, die den Zugriff nur auf die spezifischen API-Aufrufe beschränken, die Ihre Anwendungen benötigen. 

Diese Eigenschaften sind jetzt in allen AWS-Regionen verfügbar, einschließlich der AWS-Regionen GovCloud (USA). Es fallen für diese Funktion keine zusätzlichen Gebühren an. Weitere Informationen zu IAM für EC2 finden Sie im Benutzerhandbuch. Weitere Informationen zu Aktionen, Ressourcen und Bedingungsschlüsseln für Amazon EC2 finden Sie im Referenzhandbuch zur Serviceautorisierung.