Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
IAMBerechtigungen für EC2 Instance Connect gewähren
Um sich über Instance Connect mit einer EC2 Instance zu verbinden, müssen Sie eine IAM Richtlinie erstellen, die Ihren Benutzern Berechtigungen für die folgenden Aktionen und Bedingungen erteilt:
-
ec2-instance-connect:SendSSHPublicKey
-Aktion – Erteilt einem -Benutzer die Berechtigung, den öffentlichen Schlüssel per Push zu einer Instance zu übertragen. -
ec2:osuser
-Bedingung – Gibt den Namen des Betriebssystembenutzers an, der den öffentlichen Schlüssel per Push an die Instance übertragen kann. Verwenden Sie den StandardbenutzernamenAMI, den Sie beim Starten der Instance verwendet haben. Der Standardbenutzername für AL2 023 und Amazon Linux 2 istec2-user
, und für Ubuntu ist esubuntu
. -
ec2:DescribeInstances
action — Erforderlich, wenn die EC2 -Konsole verwendet wird, da der Wrapper diese Aktion aufruft. Benutzer besitzen möglicherweise bereits die Berechtigung zum Aufruf dieser Aktion in einer anderen Richtlinie. -
ec2:DescribeVpcs
Aktion — Erforderlich, wenn eine Verbindung zu einer IPv6 Adresse hergestellt wird.
Ziehen Sie die Einschränkung des Zugriffs auf bestimmte EC2 Instances in Betracht. Andernfalls können alle IAM Principals mit der Berechtigung für die ec2-instance-connect:SendSSHPublicKey
Aktion eine Verbindung zu allen EC2 Instanzen herstellen. Sie können den Zugriff auch einschränken, indem Sie eine -Ressource angeben ARNs oder Ressourcen-Tags als Bedingungsschlüssel verwenden.
Weitere Informationen finden Sie im Abschnitt Aktionen, Ressourcen und Bedingungsschlüssel für Amazon EC2 Instance Connect.
Informationen zum Erstellen von IAM Richtlinien finden Sie unter IAMRichtlinien erstellen im IAMBenutzerhandbuch.
Erlauben Sie Benutzern die Verbindung zu bestimmten Instances
Die folgende IAM Richtlinie gewährt die Berechtigung, eine Verbindung zu bestimmten Instances herzustellen, die anhand ihrer -Ressource identifiziert werdenARNs.
In der folgenden IAM Beispielrichtlinie werden die folgenden Aktionen und Bedingungen angegeben:
-
Die
ec2-instance-connect:SendSSHPublicKey
Aktion gewährt Benutzern die Berechtigung, eine Verbindung zu zwei Instances herzustellen, die durch die -Ressource angegeben werdenARNs. Um Benutzern die Berechtigung zu erteilen, eine Verbindung zu allen EC2 Instanzen herzustellen, ersetzen Sie die Ressource ARNs durch den*
Platzhalter. -
Die
ec2:osuser
Bedingung gewährt nur dann die Berechtigung, eine Verbindung zu den Instances herzustellen, wennami-username
wird beim Herstellen einer Verbindung angegeben. -
Die Aktion
ec2:DescribeInstances
wird angegeben, um Benutzern, die sich über die Konsole mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Sie können auslassen, wenn Ihre Benutzer ausschließlich einen SSH Client zum Herstellen von Verbindungen mit Ihren Instances verwendenec2:DescribeInstances
. Beachten Sie, dass dieec2:Describe*
API Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der*
-Platzhalter imResource
-Element erforderlich. -
Die
ec2:DescribeVpcs
Aktion wird angegeben, um Benutzern, die sich über die Konsole über eine IPv6 Adresse mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Wenn Ihre Benutzer nur eine öffentliche IPv4 Adresse verwenden, können Sie sie weglassenec2:DescribeVpcs
. Beachten Sie, dass dieec2:Describe*
API Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der*
-Platzhalter imResource
-Element erforderlich.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": [ "arn:aws:ec2:
region
:account-id
:instance/i-1234567890abcdef0
", "arn:aws:ec2:region
:account-id
:instance/i-0598c7d356eba48d7
" ], "Condition": { "StringEquals": { "ec2:osuser": "ami-username
" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVpcs" ], "Resource": "*" } ] }
Erlauben Sie Benutzern die Verbindung zu Instances mit bestimmten Tags
Bei der attributbasierten Zugriffskontrolle (ABAC) handelt es sich um eine Autorisierungsstrategie, die Berechtigungen basierend auf Tags definiert, die an Benutzer und -Ressourcen angefügt werden können. AWS Sie können Ressourcen-Tags verwenden, um den Zugriff auf eine Instance zu steuern. Weitere Informationen zur Verwendung von Markierungen, um den Zugriff auf Ihre AWS -Ressourcen zu steuern, finden Sie unter Steuern des Zugriffs auf AWS -Ressourcen im IAMBenutzerhandbuch.
In der folgenden IAM Beispielrichtlinie gewährt die ec2-instance-connect:SendSSHPublicKey
Aktion Benutzern die Erlaubnis, eine Verbindung zu einer beliebigen Instanz herzustellen (angezeigt durch den *
Platzhalter in der RessourceARN), sofern die Instanz über ein Ressourcen-Tag mit key= tag-key
und value= verfügt. tag-value
Die Aktion ec2:DescribeInstances
wird angegeben, um Benutzern, die sich über die Konsole mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Sie können auslassen, wenn Ihre Benutzer ausschließlich einen SSH Client zum Herstellen von Verbindungen mit Ihren Instances verwendenec2:DescribeInstances
. Beachten Sie, dass die ec2:Describe*
API Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der *
-Platzhalter im Resource
-Element erforderlich.
Die ec2:DescribeVpcs
Aktion wird angegeben, um Benutzern, die sich über die Konsole über eine IPv6 Adresse mit Ihren Instances verbinden wollen, eine Berechtigung zu erteilen. Wenn Ihre Benutzer nur eine öffentliche IPv4 Adresse verwenden, können Sie sie weglassenec2:DescribeVpcs
. Beachten Sie, dass die ec2:Describe*
API Aktionen keine Berechtigungen auf Ressourcenebene unterstützen. Aus diesem Grund ist in der obigen Anweisung der *
-Platzhalter im Resource
-Element erforderlich.
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": "ec2-instance-connect:SendSSHPublicKey", "Resource": "arn:aws:ec2:
region
:account-id
:instance/*", "Condition": { "StringEquals": { "aws:ResourceTag/tag-key
": "tag-value
" } } }, { "Effect": "Allow", "Action": [ "ec2:DescribeInstances", "ec2:DescribeVpcs" ], "Resource": "*" } ] }