Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Autorizzazioni IAM richieste per la creazione e l'utilizzo di ambienti CloudShell VPC
Per creare e utilizzare ambienti CloudShell VPC, l'amministratore IAM deve abilitare l'accesso alle autorizzazioni Amazon EC2 specifiche per VPC. Questa sezione elenca le autorizzazioni Amazon EC2 necessarie per creare e utilizzare ambienti VPC.
Per creare ambienti VPC, la policy IAM assegnata al tuo ruolo deve includere le seguenti autorizzazioni Amazon EC2:
ec2:DescribeVpcsec2:DescribeSubnetsec2:DescribeSecurityGroupsec2:DescribeDhcpOptionsec2:DescribeNetworkInterfaces
-
ec2:CreateTags -
ec2:CreateNetworkInterface -
ec2:CreateNetworkInterfacePermission
Ti consigliamo di includere:
-
ec2:DeleteNetworkInterface
Nota
Questa autorizzazione non è obbligatoria, ma è necessaria per CloudShell ripulire la risorsa ENI (gli ENI creati per gli ambienti CloudShell VPC sono contrassegnati ManagedByCloudShell con la chiave) da essa creata. Se questa autorizzazione non è abilitata, è necessario pulire manualmente la risorsa ENI dopo ogni utilizzo dell'ambiente CloudShell VPC.
Policy IAM che garantisce CloudShell l'accesso completo, incluso l'accesso al VPC
L'esempio seguente mostra come abilitare le autorizzazioni complete, incluso l'accesso al VPC, per: CloudShell
Utilizzo delle chiavi di condizione IAM per ambienti VPC
Puoi utilizzare le chiavi di CloudShell-specific condizione per le impostazioni VPC per fornire controlli di autorizzazione aggiuntivi per i tuoi ambienti VPC. Puoi anche specificare le sottoreti e i gruppi di sicurezza che l'ambiente VPC può e non può utilizzare.
CloudShell supporta le seguenti chiavi di condizione nelle politiche IAM:
-
CloudShell:VpcIds— Consentire o negare uno o più VPC -
CloudShell:SubnetIds— Consentire o negare una o più sottoreti -
CloudShell:SecurityGroupIds— Consentire o negare uno o più gruppi di sicurezza
Nota
Se le autorizzazioni per gli utenti con accesso agli CloudShell ambienti pubblici vengono modificate per aggiungere restrizioni all'cloudshell:createEnvironmentazione, possono comunque accedere all'ambiente pubblico esistente. Tuttavia, se desideri modificare una policy IAM con questa restrizione e disabilitare il loro accesso all'ambiente pubblico esistente, devi prima aggiornare la policy IAM con la restrizione, quindi assicurarti che ogni CloudShell utente del tuo account elimini manualmente l'ambiente pubblico esistente utilizzando l'interfaccia utente CloudShell web (Azioni → Elimina ambiente). CloudShell
Policy di esempio con chiavi di condizione per le impostazioni VPC
Negli esempi seguenti viene illustrato come utilizzare le chiavi di condizione per le impostazioni VPC. Dopo aver creato un'istruzione delle policy con le restrizioni desiderate, aggiungere l'istruzione delle policy per l'utente o il ruolo di destinazione.
Assicurati che gli utenti creino solo ambienti VPC e neghi la creazione di ambienti pubblici
Per garantire che gli utenti possano creare solo ambienti VPC, utilizza l'autorizzazione di negazione come mostrato nell'esempio seguente:
{ "Statement": [ { "Sid": "DenyCloudShellNonVpcEnvironments", "Action": [ "cloudshell:CreateEnvironment" ], "Effect": "Deny", "Resource": "*", "Condition": { "Null": { "cloudshell:VpcIds": "true" } } } ] }
Negare agli utenti l'accesso a specifici VPC, sottoreti o gruppi di sicurezza
Per negare agli utenti l'accesso a specifici VPC, utilizzare StringEquals per verificare il valore della condizione cloudshell:VpcIds. L'esempio seguente nega agli utenti l'accesso a e: vpc-1 vpc-2
Per negare agli utenti l'accesso a specifici VPC, utilizzare StringEquals per verificare il valore della condizione cloudshell:SubnetIds. L'esempio seguente nega agli utenti l'accesso a subnet-1 e: subnet-2
Per negare agli utenti l'accesso a specifici VPC, utilizzare StringEquals per verificare il valore della condizione cloudshell:SecurityGroupIds. L'esempio seguente nega agli utenti l'accesso a sg-1 e: sg-2
Consenti agli utenti di creare ambienti con configurazioni VPC specifiche
Per consentire agli utenti di accedere a VPC specifici, utilizza StringEquals per verificare il valore della condizione. cloudshell:VpcIds L'esempio seguente consente agli utenti di accedere a vpc-1 evpc-2:
Per consentire agli utenti di accedere a VPC specifici, utilizza StringEquals per verificare il valore della cloudshell:SubnetIds condizione. L'esempio seguente consente agli utenti di accedere a subnet-1 esubnet-2:
Per consentire agli utenti di accedere a VPC specifici, utilizza StringEquals per verificare il valore della cloudshell:SecurityGroupIds condizione. L'esempio seguente consente agli utenti di accedere a sg-1 esg-2: