Kann ich den Zugriff einer IAM-Identität auf bestimmte Amazon-EC2-Ressourcen beschränken?

Lesedauer: 2 Minute

Ich möchte den Zugriff eines Benutzers, einer Gruppe oder einer Rolle in AWS Identity and Access Management (IAM) auf eine bestimmte Amazon Elastic Compute Cloud (Amazon EC2)-Ressource auf demselben Konto beschränken. Wie kann ich dies umsetzen?

Behebung

Amazon EC2 unterstützt Berechtigungen oder Bedingungen auf Ressourcenebene teilweise. Das bedeutet, dass Sie für bestimmte Amazon-EC2-Aktionen steuern können, unter welchen Bedingungen Benutzer diese Aktionen verwenden dürfen, oder welche Ressourcen Benutzer verwenden dürfen.

Eine Isolierung des Zugriffs von IAM-Benutzern oder -Benutzergruppen auf Amazon-EC2-Ressourcen anhand anderer Kriterien als der AWS-Region ist für die meisten Anwendungsfälle nicht geeignet. Wenn Sie Ihre Ressourcen nach Region oder spezifischen Bedingungen auf demselben Konto isolieren müssen, prüfen Sie anhand der Liste der Amazon-EC2-Aktionen, die Berechtigungen und Bedingungen auf Ressourcenebene unterstützen, ob Ihr Anwendungsfall unterstützt wird.

Im Folgenden finden Sie als Beispiel eine Richtlinie, die verwendet werden kann, um den Zugriff einer IAM-Identität (Benutzer/Gruppe/Rolle) auf EC2-Instances in der Region Nord-Virginia (us-east-1) zu beschränken. Die Instance muss einen Tag-Schlüssel „Owner“ mit dem Tag-Wert „Bob“ haben. „ec2:Describe*“ wird zur Richtlinie hinzugefügt, um die Berechtigung zur Beschreibung der EC2-Instance und aller zugehörigen Ressourcen in der AWS-Management-EC2-Konsole zu gewähren.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Owner": "Bob"
        }
      }
    }
  ]
}

Hinweis: Ersetzen Sie „Owner“, „Bob“ und den Ressourcen-ARN durch Parameter aus Ihrer Umgebung.

Nachdem Sie die Richtlinie erstellt haben, können Sie sie einem IAM-Benutzer, einer IAM-Gruppe oder einer IAM-Rolle zuordnen

Informationen zu Tagging-Anwendungsfällen und dem empfohlenen Vorgehen finden Sie unter Bewährte Methoden.

Weitere Informationen

IAM-Richtlinien für Amazon EC2

Identitäts- und Zugriffsmanagement für Amazon EC2

Amazon EC2-API-Aktionen

Amazon-Ressourcennamen (ARNs)

Themen

Sicherheit, Identität & Konformität

Relevanter Inhalt

Wie kann ich den Zugriff auf meinen Amazon S3-Bucket über bestimmte VPC-Endpunkte oder IP-Adressen einschränken?
AWS OFFICIALAktualisiert vor 2 Jahren
Wie kann ich die IAM-Berechtigungen eines Elastic Beanstalk-Benutzers auf bestimmte Anwendungen beschränken?
AWS OFFICIALAktualisiert vor 4 Jahren
Wie kann ich den Zugriff auf eine bestimmte IAM-Rollensitzung mithilfe einer identitätsbasierten IAM-Richtlinie einschränken?
AWS OFFICIALAktualisiert vor 2 Jahren
Warum ist meine statische Website auf Amazon S3 immer noch über öffentliche IP-Adressen zugänglich, obwohl ich den Zugriff auf eine bestimmte Amazon VPC eingeschränkt habe?
AWS OFFICIALAktualisiert vor einem Jahr

Kann ich den Zugriff einer IAM-Identität auf bestimmte Amazon-EC2-Ressourcen beschränken?

Behebung

Weitere Informationen

Ähnliche Videos

Relevanter Inhalt