Comment créer une stratégie IAM pour contrôler l'accès à des groupes de 5 à 10 instances Amazon EC2 à l'aide de balises ?

Vous pouvez contrôler l'accès à de plus petits déploiements d'instances EC2 (de 5 à 10 instances à la fois) en procédant comme suit :

  1. Ajoutez une balise spécifique aux instances auxquelles vous souhaitez donner accès aux utilisateurs ou aux groupes.
  2. Créez une stratégie IAM qui donne accès à toutes les instances disposant de la balise spécifiée.
  3. Attachez la stratégie IAM aux utilisateurs ou aux groupes à qui vous souhaitez donner l'accès aux instances.

Ajouter une balise à un groupe d'instances EC2

Ouvrez la console Amazon EC2 et ajoutez des balises au groupe d'instances EC2 auxquelles vous souhaitez donner accès aux utilisateurs ou aux groupes. Si vous n'avez pas encore de balise, créez-en une.

Remarque : Veillez à prendre connaissance et à bien comprendre les restrictions relatives aux balises avant de baliser vos ressources. Les balises EC2 sont sensibles à la casse.

Créer une stratégie IAM qui donne accès aux instances disposant de la balise spécifiée

Créez une stratégie IAM qui satisfait aux opérations ou conditions suivantes :

  • Autorise le contrôle sur les instances disposant de la balise.
  • Contient une instruction conditionnelle qui permet d'accéder à des ressources EC2 en associant des valeurs de balises ec2:ResourceTag/UserName et de variables de stratégie aws:username.
  • Autorise l'accès aux actions ec2:Describe* pour les ressources EC2.
  • Refuse explicitement l'accès aux actions ec2:CreateTags et ec2:DeleteTags pour empêcher les utilisateurs de créer ou de supprimer des balises.
    Remarque : Cela permet d'éviter que l'utilisateur prenne le contrôle d'une instance EC2 en y ajoutant la balise spécifique.

Par exemple, la stratégie finale doit être similaire à l'exemple suivant :

{
    "Version" : "2012-10-17",
        "Statement" :
    [
        {
            "Effect" : "Allow",
            "Action" : "ec2:*",
            "Resource" : "*",
            "Condition" : {
                "StringEquals" : {
                    "ec2:ResourceTag/UserName" : "${aws:username}"
                }
            }
        },
        {
            "Effect" : "Allow",
            "Action" : "ec2:Describe*",
            "Resource" : "*"
        },
        {
            "Effect" : "Deny",
            "Action" :
                [
                 "ec2:CreateTags",
                 "ec2:DeleteTags"
                ],
            "Resource" : "*"
        }        
    ]                                        
}

Attacher la stratégie IAM aux utilisateurs ou aux groupes à qui vous souhaitez donner l'accès aux instances

Enfin, attachez la stratégie IAM que vous avez créée aux utilisateurs ou aux groupes à qui vous souhaitez donner accès aux instances. Vous pouvez attacher la stratégie IAM à l'aide d'AWS Management Console, de l'interface de ligne de commande AWS ou de l'API AWS.


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support.

Date de publication : 12/10/2015

Date de mise à jour : 19/07/2018