Publicado en: Mar 6, 2023
Ahora puede usar las propiedades de control de credenciales para restringir más fácilmente el uso de sus roles de IAM para EC2.
Los roles de IAM para EC2 permiten que sus aplicaciones realicen solicitudes de API de forma segura sin que usted administre directamente las credenciales de seguridad. Las credenciales de IAM temporales y rotativas se aprovisionan automáticamente en el servicio de metadatos de sus instancias con los permisos que haya definido para el rol. A continuación, sus aplicaciones, normalmente a través de los SDK o la CLI de AWS, recuperan y utilizan esas credenciales temporales.
Anteriormente, si usted quería restringir la ubicación de red en la que podían usarse estas credenciales, tenía que codificar de forma rígida los ID de VPC o las direcciones IP de las funciones de la política de roles o la política de puntos de conexión de la VPC. Esto requería una sobrecarga administrativa y, potencialmente, muchas políticas diferentes para diferentes funciones, VPC, etc.
Cada credencial de rol ahora tiene dos propiedades nuevas, que son claves de condiciones globales de AWS, que añaden información sobre la instancia desde la que se emitieron originalmente. Estas propiedades, el ID de VPC y la dirección IP privada principal de la instancia, se pueden usar en las políticas de IAM, las políticas de control de servicios (SCP), las políticas de puntos de conexión de VPC o las políticas de recursos para comparar la ubicación de red en la que se originó la credencial con la que se usa. Las políticas de aplicación amplia ahora pueden limitar el uso de las credenciales de su rol únicamente a la ubicación desde la que se originaron. Encontrará ejemplos de estas políticas en esta entrada de blog. Al crear roles de IAM, como ocurre con cualquier director de IAM, utilice políticas de IAM con privilegios mínimos que restrinjan el acceso únicamente a las llamadas de API específicas que requieren sus aplicaciones.
Estas propiedades ya están disponibles en todas las regiones de AWS, incluidas las regiones de AWS GovCloud (EE. UU.). No hay cargos adicionales por utilizar esta característica. Para obtener más información sobre IAM para EC2, consulte la Guía del usuario. Para obtener más información sobre las acciones, los recursos y las claves de condiciones de Amazon EC2, consulte la guía de referencia de autorización de servicios.