Ich möchte den Zugriff eines Benutzers, einer Gruppe oder einer Rolle in AWS Identity and Access Management (IAM) auf eine bestimmte Amazon Elastic Compute Cloud (Amazon EC2)-Ressource auf demselben Konto beschränken. Wie kann ich dies umsetzen?
Behebung
Amazon EC2 unterstützt Berechtigungen oder Bedingungen auf Ressourcenebene teilweise. Das bedeutet, dass Sie für bestimmte Amazon-EC2-Aktionen steuern können, unter welchen Bedingungen Benutzer diese Aktionen verwenden dürfen, oder welche Ressourcen Benutzer verwenden dürfen.
Eine Isolierung des Zugriffs von IAM-Benutzern oder -Benutzergruppen auf Amazon-EC2-Ressourcen anhand anderer Kriterien als der AWS-Region ist für die meisten Anwendungsfälle nicht geeignet. Wenn Sie Ihre Ressourcen nach Region oder spezifischen Bedingungen auf demselben Konto isolieren müssen, prüfen Sie anhand der Liste der Amazon-EC2-Aktionen, die Berechtigungen und Bedingungen auf Ressourcenebene unterstützen, ob Ihr Anwendungsfall unterstützt wird.
Im Folgenden finden Sie als Beispiel eine Richtlinie, die verwendet werden kann, um den Zugriff einer IAM-Identität (Benutzer/Gruppe/Rolle) auf EC2-Instances in der Region Nord-Virginia (us-east-1) zu beschränken. Die Instance muss einen Tag-Schlüssel „Owner“ mit dem Tag-Wert „Bob“ haben. „ec2:Describe*“ wird zur Richtlinie hinzugefügt, um die Berechtigung zur Beschreibung der EC2-Instance und aller zugehörigen Ressourcen in der AWS-Management-EC2-Konsole zu gewähren.
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "ec2:Describe*",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:RebootInstances"
],
"Resource": [
"arn:aws:ec2:us-east-1:111122223333:instance/*"
],
"Condition": {
"StringEquals": {
"ec2:ResourceTag/Owner": "Bob"
}
}
}
]
}
Hinweis: Ersetzen Sie „Owner“, „Bob“ und den Ressourcen-ARN durch Parameter aus Ihrer Umgebung.
Nachdem Sie die Richtlinie erstellt haben, können Sie sie einem IAM-Benutzer, einer IAM-Gruppe oder einer IAM-Rolle zuordnen
Informationen zu Tagging-Anwendungsfällen und dem empfohlenen Vorgehen finden Sie unter Bewährte Methoden.
Weitere Informationen
IAM-Richtlinien für Amazon EC2
Identitäts- und Zugriffsmanagement für Amazon EC2
Amazon EC2-API-Aktionen
Amazon-Ressourcennamen (ARNs)