Est-il possible de limiter l'accès des utilisateurs IAM à des ressources Amazon EC2 ?

Date de la dernière mise à jour : 12/08/2020

Je souhaite limiter l'accès d'un utilisateur ou d'un groupe AWS Identity and Access Management (IAM) à une ressource Amazon Elastic Compute Cloud (Amazon EC2) ou à un groupe de ressources Amazon EC2, et ce, pour plusieurs groupes de ressources sur le même compte AWS. Comment faire ?

Solution

La plupart des actions essentielles d'Amazon EC2 ne prennent pas en charge les autorisations ou conditions au niveau des ressources, et isoler les utilisateurs ou les groupes d'utilisateurs IAM ayant accès aux ressources d'Amazon EC2 selon des critères autres que ceux de la région AWS ne convient pas dans la plupart des cas d'utilisation..

Envisagez plutôt de lier plusieurs comptes AWS différents via AWS Organizations. Ensuite, isolez les groupes d'utilisateurs IAM dans leurs propres comptes.

Si vous devez isoler vos ressources par région ou selon des conditions sur le même compte, commencez par consulter la liste d'actions EC2 qui prennent en charge les autorisations et les conditions au niveau des ressources pour vous assurer que votre cas d'utilisation prend en charge cette solution.

Ensuite, ouvrez la console IAM et créez une stratégie IAM similaire à celle-ci :

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":"ec2:Describe*",
         "Resource":"*"
      },
      {
         "Effect":"Allow",
         "Action":[
            "ec2:StartInstances",
            "ec2:StopInstances",
            "ec2:RebootInstances"
         ],
         "Resource":[
            "arn:aws:ec2:us-east-1:111122223333:instance/*"
         ],
         "Condition":{
            "StringEquals":{
               "ec2:ResourceTag/Owner":"Bob"
            }
         }
      }
   ]
}

Remarque : remplacez les valeurs Owner, Bob et AWS Region par des paramètres de votre environnement.

Cet exemple de stratégie limite l'accès d'un utilisateur ou d'un groupe IAM aux instances EC2 Start/Stop/Reboot dans la région USA Est (Virginie du Nord) [us-east-1] disposant de la clé de balise Owner ou de la valeur Bob.

Enfin, créez des stratégies similaires pour chaque groupe d'utilisateurs IAM en utilisant une région différente pour chacun d'entre eux.

Pour les cas d’utilisation et les bonnes pratiques de balisage, reportez-vous à Meilleures pratiques de balisage.  


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?