En utilisant AWS re:Post, vous acceptez les AWS re:Post Conditions d’utilisation
AWS re:Postre:Post

Est-il possible de limiter l'accès d'une identité IAM à des ressources Amazon EC2 spécifiques ?

Lecture de 2 minute(s)
0

Je souhaite limiter l'accès d'un utilisateur/groupe/rôle Gestion des identités et des accès AWS (AWS IAM) à une ressource Amazon Elastic Compute Cloud (Amazon EC2) spécifique sur le même compte. Comment procéder ?

Solution

Amazon EC2 prend partiellement en charge les autorisations ou conditions au niveau des ressources. Cela signifie que, pour certaines actions Amazon EC2, vous pouvez contrôler à quel moment les utilisateurs sont autorisés à utiliser ces actions en fonction de conditions qui doivent être remplies, ou de ressources spécifiques que les utilisateurs sont autorisés à utiliser.

L'isolement de l'accès aux ressources Amazon EC2 des utilisateurs ou des groupes d'utilisateurs IAM selon des critères autres que la région AWS ne convient pas à la plupart des cas d'utilisation. Si vous devez isoler vos ressources par région ou selon des conditions sur le même compte, assurez-vous de consulter la liste d'actions Amazon EC2 qui prennent en charge les autorisations et les conditions au niveau des ressources pour vérifier que votre cas d'utilisation est pris en charge.

Vous trouverez ci-dessous un exemple de politique qui peut être utilisée pour limiter l'accès d'une identité IAM (utilisateur/groupe/rôle) uniquement aux instances EC2 de démarrage/d'arrêt/de redémarrage dans la région Virginie du Nord (us-east-1). L'instance doit avoir une clé de balise « Owner » (Propriétaire) avec une valeur de balise « Bob ». « ec2:Describe* » est ajouté à la politique pour accorder l'autorisation de décrire l'instance EC2 et toutes les ressources associées dans la console de gestion AWS EC2.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Owner": "Bob"
        }
      }
    }
  ]
}

Remarque : remplacez les valeurs « Owner », « Bob » et l'ARN de ressource par des paramètres de votre environnement.

Après avoir créé la politique, vous pouvez l'associer à un utilisateur, un groupe ou un rôle IAM.

Pour les cas d'utilisation et les bonnes pratiques de balisage, veuillez consulter la rubrique Bonnes pratiques.

Informations connexes

Stratégies IAM pour Amazon EC2

Identity and Access Management for Amazon EC2

Actions d'API Amazon EC2

Amazon Resource Names (ARN)

Sujets
Sécurité, identité et conformité
Balises
AWS Identity and Access Management
Langue
Français

Vidéos associées

Regarder la vidéo de Viswanath pour en savoir plus (3:22)
Regarder la vidéo de Viswanath pour en savoir plus (3:22)
AWS OFFICIEL
AWS OFFICIELA mis à jour il y a un an
Aucun commentaire

Contenus pertinents