Publicado: Mar 6, 2023

Agora, você pode usar as propriedades de controle de credenciais para restringir mais facilmente o uso de perfis do IAM para o EC2.

Os perfis do IAM para EC2 permitem que as aplicações façam solicitações de API com segurança, sem que você precise gerenciar diretamente as credenciais de segurança. As credenciais temporárias e rotativas do IAM são automaticamente provisionadas para o serviço de metadados das instâncias com as permissões que você definiu para o perfil. As aplicações recuperam e usam essas credenciais temporárias (normalmente, por meio dos SDKs ou da CLI da AWS). 

Anteriormente, se quisesse restringir o local da rede em que essas credenciais podiam ser usadas, você precisaria codificar os IDs de VPC e/ou os endereços IP dos perfis na política de perfis ou na política de endpoints da VPC. Essa necessidade gerava sobrecarga administrativa e potencialmente várias políticas diferentes para distintos perfis, VPCs etc. 

Agora, cada credencial de perfil tem duas novas propriedades que são chaves de condição globais da AWS, adicionando informações sobre a instância que as emitiu originalmente. Essas propriedades, a ID da VPC e o endereço IP privado principal da instância, podem ser usadas em políticas do IAM, Service Control Policies (SCPs – Políticas de controle de serviço), políticas de endpoint da VPC ou políticas de recursos para comparar o local da rede em que a credencial se originou e onde a credencial é usada. As políticas amplamente aplicáveis já podem limitar o uso de credenciais de perfil apenas ao seu local de origem. Esta publicação de blog mostra exemplos dessas políticas. Ao criar perfis do IAM, assim como qualquer entidade principal do IAM, use políticas do IAM de menor privilégio que restrinjam o acesso apenas às chamadas de API específicas necessárias para as aplicações. 

Essas propriedades já estão disponíveis em todas as regiões da AWS, incluindo as regiões AWS GovCloud (EUA). Não há custo adicional para usar esse recurso. Para obter mais informações sobre o IAM para EC2, consulte o Guia do usuário. Para obter mais informações sobre ações, recursos e chaves de condição para o Amazon EC2, consulte o guia de referência de autorização de serviços.