Je souhaite limiter l'accès d'un utilisateur IAM ou d'un groupe à une ressource Amazon EC2 spécifique ou à un groupe de ressources EC2, et je souhaite en faire de même pour plusieurs groupes de ressources du même compte AWS. Est-ce possible ?

Actuellement, cela est possible pour certaines actions d'API dans EC2, mais pas pour toutes. De nombreuses actions EC2 essentielles ne prennent pas en charge les conditions ou les autorisations au niveau des ressources et, dans la plupart des cas, il n'est pas possible de limiter l'accès des utilisateurs IAM ou de groupes d'utilisateurs aux ressources EC2 avec des critères autres que la région AWS.

Au lieu de cela, envisagez d'associer plusieurs comptes AWS via la facturation consolidée et d'isoler les groupes d'utilisateurs IAM en fonction de ces comptes.

Si vous devez isoler les ressources en fonction de la région ou de n'importe quelle autre condition dans le même compte, commencez par vérifier la liste des actions EC2 qui prennent en charge les autorisations au niveau des ressources, ainsi que les conditions qu'elles prennent en charge pour vous assurer que cette solution correspond à votre scénario.

Créez ensuite une stratégie similaire à celle-ci :

{

    "Version":"2012-10-17",

    "Statement": {

        "Action": [

            "ec2:Describe*"

        ],

        "Effect":"Allow",

        "Resource": "*",

        "Condition": {

            "StringEquals": {

                "ec2:Region": "us-east-1"

            }

        }

    }

}

L'association d'une stratégie similaire à cet exemple à un utilisateur IAM ou à un groupe restreint l'accès aux ressources d'une région EC2 spécifique (us-east-1, dans l'exemple ci-dessus). Créez des stratégies similaires pour chaque groupe d'utilisateurs IAM, en veillant à utiliser une région distincte pour chacun d'eux.

Amazon EC2, actions EC2, IAM, stratégie, autorisations, restreindre, affichage, instances


Cette page vous a-t-elle été utile ? Oui | Non

Retour au Centre de connaissances AWS Support

Vous avez besoin d'aide ? Consultez le site du Centre AWS Support

Date de publication : 20/07/2016