


Risoluzione
-----------



Amazon EC2 supporta parzialmente le [autorizzazioni o le condizioni a livello di risorsa](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policy-structure.html#ec2-supported-iam-actions-resources). Ciò significa che per determinate azioni di Amazon EC2, puoi controllare quando gli utenti possono utilizzare tali azioni in base alle condizioni che devono essere soddisfatte o a risorse specifiche che gli utenti possono utilizzare.


L'isolamento dell'accesso di utenti o gruppi di utenti IAM alle risorse Amazon EC2 in base a criteri diversi dalla regione AWS non si adatta alla maggior parte dei casi d'uso. Se devi isolare le tue risorse per regione o per qualsiasi condizione sullo stesso account, assicurati di controllare l'elenco delle [azioni di Amazon EC2 che supportano le autorizzazioni e le condizioni a livello di risorsa](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_amazonec2.html#amazonec2-actions-as-permissions) per verificare che il tuo caso d'uso sia supportato.


Di seguito è riportato un esempio di policy che può essere utilizzata per limitare l'accesso di un'identità IAM (utente/gruppo/ruolo) solo alle istanze Avvia/Arresta/Riavvia EC2 nella regione Virginia settentrionale (us-east-1). L'istanza deve avere una chiave di tag "Proprietario" con un valore di tag "Bob." "ec2:describe\*" viene aggiunto alla policy per concedere l'autorizzazione a descrivere l'istanza EC2 e tutte le risorse associate nella console di gestione AWS EC2.





```plaintext
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ec2:StartInstances",
        "ec2:StopInstances",
        "ec2:RebootInstances"
      ],
      "Resource": [
        "arn:aws:ec2:us-east-1:111122223333:instance/*"
      ],
      "Condition": {
        "StringEquals": {
          "ec2:ResourceTag/Owner": "Bob"
        }
      }
    }
  ]
}
```



**Nota:** Sostituisci "Proprietario", "Bob" e la risorsa ARN con i parametri del tuo ambiente.


Dopo aver [creato la policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html), puoi collegarla a un utente, gruppo o ruolo IAM


Per etichettare i casi d'uso e le best practice, consulta [Best practices](https://docs.aws.amazon.com/general/latest/gr/aws_tagging.html#tag-best-practices).





---




Informazioni correlate
--------------------



[Politiche IAM per Amazon EC2](http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-policies-for-amazon-ec2.html)


[Gestione delle identità e degli accessi per Amazon EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/security-iam.html)


[Azioni API Amazon EC2](http://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_Operations.html)


[Nomi delle risorse Amazon (ARN)](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html#arn-syntax-ec2)







Desidero limitare l'accesso di un utente/gruppo/ruolo di AWS Identity and Access Management (IAM) a una specifica risorsa Amazon Elastic Compute Cloud (Amazon EC2) sullo stesso account. In che modo posso farlo?

Limita l'accesso degli utenti a risorse EC2 specifiche

Posso limitare l'accesso di IAM Identity a risorse Amazon EC2 specifiche?

Sicurezza, identità e conformità

Come posso utilizzare i tag dei criteri IAM per limitare le modalità di creazione di un'istanza EC2 o di un volume EBS?

Come posso limitare l'accesso a una sessione di ruolo IAM specifica utilizzando una policy basata sull'identità IAM?

Come faccio a limitare le autorizzazioni IAM di un utente di Elastic Beanstalk ad applicazioni specifiche?

Come posso creare un criterio IAM per concedere esplicitamente le autorizzazioni a un utente, gruppo o ruolo IAM per creare e gestire le istanze EC2 in un VPC specificato utilizzando i tag?

Posso limitare l'accesso di IAM Identity a risorse Amazon EC2 specifiche?

Risoluzione

Informazioni correlate

Video correlati

Contenuto pertinente