Est-il possible de limiter l'accès d'une identité IAM à des ressources Amazon EC2 spécifiques ?

Dernière mise à jour : 20/10/2022

Je souhaite limiter l'accès d'un utilisateur/groupe/rôle Gestion des identités et des accès AWS (AWS IAM) à une ressource Amazon Elastic Compute Cloud (Amazon EC2) spécifique sur le même compte. Comment procéder ?

Solution

Amazon EC2 prend partiellement en charge les autorisations ou conditions au niveau des ressources. Cela signifie que, pour certaines actions Amazon EC2, vous pouvez contrôler à quel moment les utilisateurs sont autorisés à utiliser ces actions en fonction de conditions qui doivent être remplies, ou de ressources spécifiques que les utilisateurs sont autorisés à utiliser.

L'isolement de l'accès aux ressources Amazon EC2 des utilisateurs ou des groupes d'utilisateurs IAM selon des critères autres que la région AWS ne convient pas à la plupart des cas d'utilisation. Si vous devez isoler vos ressources par région ou selon des conditions sur le même compte, assurez-vous de consulter la liste d'actions Amazon EC2 qui prennent en charge les autorisations et les conditions au niveau des ressources pour vérifier que votre cas d'utilisation est pris en charge.

Vous trouverez ci-dessous un exemple de politique qui peut être utilisée pour limiter l'accès d'une identité IAM (utilisateur/groupe/rôle) uniquement aux instances EC2 de démarrage/d'arrêt/de redémarrage dans la région Virginie du Nord (us-east-1). L'instance doit avoir une clé de balise « Owner » (Propriétaire) avec une valeur de balise « Bob ». « ec2:Describe* » est ajouté à la politique pour accorder l'autorisation de décrire l'instance EC2 et toutes les ressources associées dans la console de gestion AWS EC2.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Owner": "Bob"
        }
      }
    }
  ]
}

Remarque : remplacez les valeurs « Owner », « Bob » et l'ARN de ressource par des paramètres de votre environnement.

Après avoir créé la politique, vous pouvez l'associer à un utilisateur, un groupe ou un rôle IAM.

Pour les cas d'utilisation et les bonnes pratiques de balisage, veuillez consulter la rubrique Bonnes pratiques.


Cet article vous a-t-il été utile ?


Besoin d'aide pour une question technique ou de facturation ?