Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Concessione di un’autorizzazione IAM per EC2 Instance Connect
Per connetterti all’istanza tramite EC2 Instance Connect, devi creare una policy IAM che concede agli utenti le autorizzazioni per le seguenti operazioni e condizioni:
+ Operazione `ec2-instance-connect:SendSSHPublicKey`: concede l’autorizzazione per inviare la chiave pubblica a un’istanza.
+ Condizione `ec2:osuser`: specifica il nome dell’utente del sistema operativo che può inviare la chiave pubblica a un’istanza. Utilizza il nome utente predefinito per l’AMI che è stata utilizzata per avviare l’istanza. Il nome utente predefinito per AL2023 Amazon Linux 2 è`ec2-user`, e per Ubuntu è`ubuntu`.
+ Operazione `ec2:DescribeInstances`: obbligatoria quando si utilizza la console EC2 perché il wrapper richiama questa operazione. Gli utenti potrebbero già disporre dell’autorizzazione per richiamare questa operazione da un’altra policy.
+ `ec2:DescribeVpcs`azione: richiesta quando ci si connette a un IPv6 indirizzo.
Considera la possibilità di limitare l’accesso a specifiche istanze EC2. In caso contrario, tutti i principali IAM con l’autorizzazione per l’operazione `ec2-instance-connect:SendSSHPublicKey` possono connettersi a tutte le istanze EC2. È possibile limitare l'accesso specificando la risorsa ARNs o utilizzando i tag delle risorse come [chiavi di condizione](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html#amazonec2instanceconnect-policy-keys).
Per ulteriori informazioni, consulta [Operazioni, risorse e chiavi di condizione per Amazon EC2 Instance Connect](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonec2instanceconnect.html).
Per informazioni sulla creazione di una policy IAM, consulta [Creazione di policy IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
## Consentire agli utenti di connettersi a istanze specifiche
La seguente policy IAM concede l'autorizzazione a connettersi a istanze specifiche, identificate dalla relativa risorsa. ARNs
Nel seguente esempio di policy IAM, vengono specificate le operazioni e le condizioni seguenti:
+ L'`ec2-instance-connect:SendSSHPublicKey`azione concede agli utenti il permesso di connettersi a due istanze, specificate dalla risorsa. ARNs Per concedere agli utenti il permesso di connettersi a *tutte le* istanze EC2, sostituisci la risorsa ARNs con la jolly. `*`
+ La `ec2:osuser` condizione concede l'autorizzazione a connettersi alle istanze solo se viene specificata al momento della {{ami-username}} connessione.
+ L'operazione `ec2:DescribeInstances` è specificata per concedere l'autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere `ec2:DescribeInstances`. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.
+ L'`ec2:DescribeVpcs`azione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un indirizzo. IPv6 Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi `ec2:DescribeVpcs` ometterlo. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": [
"arn:aws:ec2:{{us-east-1}}:{{111122223333}}:instance/{{i-1234567890abcdef0}}",
"arn:aws:ec2:{{us-east-1}}:{{111122223333}}:instance/{{i-0598c7d356eba48d7}}"
],
"Condition": {
"StringEquals": {
"ec2:osuser": "{{ami-username}}"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------
## Consentire agli utenti di connettersi alle istanze con tag specifici
Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base a tag che possono essere allegati a utenti e risorse. AWS Puoi utilizzare i tag delle risorse per controllare l’accesso a un’istanza. *Per ulteriori informazioni sull'utilizzo dei tag per controllare l'accesso alle AWS risorse, consulta [Controlling access to AWS resources](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html#access_tags_control-resources) nella IAM User Guide.*
Nel seguente esempio di policy IAM, l’operazione `ec2-instance-connect:SendSSHPublicKey` concede agli utenti l’autorizzazione per connettersi a qualsiasi istanza (indicata dal carattere jolly `*` nell’ARN della risorsa) a condizione che l’istanza abbia un tag di risorsa con key=`tag-key` e value=`tag-value`.
L’operazione `ec2:DescribeInstances` è specificata per concedere l’autorizzazione agli utenti che utilizzano la console per connettersi alle tue istanze. Se gli utenti utilizzano solo un client SSH per connettersi alle istanze, puoi omettere `ec2:DescribeInstances`. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.
L'`ec2:DescribeVpcs`azione è specificata per concedere l'autorizzazione agli utenti che utilizzeranno la console per connettersi alle istanze utilizzando un IPv6 indirizzo. Se i tuoi utenti utilizzeranno solo un IPv4 indirizzo pubblico, puoi `ec2:DescribeVpcs` ometterlo. Le operazioni API `ec2:Describe*` non supportano le autorizzazioni a livello di risorsa. Il carattere jolly `*` è quindi necessario nell’elemento `Resource`.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": "ec2-instance-connect:SendSSHPublicKey",
"Resource": "arn:aws:ec2:{{us-east-1}}:{{111122223333}}:instance/*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/{{tag-key}}": "{{tag-value}}"
}
}
},
{
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVpcs"
],
"Resource": "*"
}
]
}
```
------