¿Puedo restringir el acceso de IAM Identity a recursos específicos de Amazon EC2?

2 minutos de lectura
0

Quiero restringir el acceso de un usuario/grupo/rol de AWS Identity and Access Management (IAM) a un recurso específico de Amazon Elastic Compute Cloud (Amazon EC2) de la misma cuenta. ¿Cómo puedo hacerlo?

Resolución

Amazon EC2 admite parcialmente los permisos o condiciones de nivel de recursos. Esto significa que, para determinadas acciones de Amazon EC2, puede controlar cuándo se permite a los usuarios usar esas acciones en función de las condiciones que deben cumplirse o de los recursos específicos que los usuarios pueden usar.

Aislar el acceso de grupos de usuarios o usuarios de IAM a los recursos de Amazon EC2 mediante cualquier criterio que no sea la región de AWS no es adecuado para la mayoría de los casos de uso. Si debe aislar sus recursos por región o por cualquier condición de la misma cuenta, asegúrese de consultar la lista de acciones de Amazon EC2 que admiten los permisos y condiciones a nivel de recursos para comprobar que se admite su caso de uso.

A continuación, se muestra un ejemplo de una política que se puede utilizar para restringir el acceso de una identidad de IAM (usuario/grupo/rol) únicamente a las instancias de EC2 para iniciar, detener o reiniciar en la región de Virginia del Norte (us-east-1). La instancia debe tener una clave de etiqueta «Owner» con un valor de etiqueta «Bob». Se añade «ec2:Describe*» a la política a fin de conceder el permiso para describir la instancia de EC2 y todos los recursos asociados en la consola de administración de AWS de EC2.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Owner": "Bob"
        }
      }
    }
  ]
}

Nota: Sustituya «Owner», «Bob» y el ARN del recurso por parámetros de su entorno.

Tras crear la política, puede adjuntarla a un usuario, grupo o rol de IAM

Para etiquetar casos de uso y prácticas recomendadas, consulte Prácticas recomendadas.


Información relacionada

Políticas de IAM para Amazon EC2

Identity and Access Management para Amazon EC2

Acciones de API de Amazon EC2

Nombres de recursos de Amazon (ARN)