Amazon web services 我们是否可以为允许从IAM角色登录的EC2实例定义权限策略？

我们可以为EC2实例分配IAM角色

现在假设我们有两个ec2实例A（在公共子网中）和B（在私有子网中）

现在，如果A具有IAM角色R，我们还可以通过在EC2实例B上定义允许访问角色R的权限策略来允许从A到B的ssh吗

---

现在我可以使用ssh将私钥上传到A，然后使用

ssh-I

从A连接到B。但是，我们可以避免将私钥存储在计算机上吗？有什么办法吗？或者必须存储私钥吗？

如果要通过使用IAM限制用户访问单个EC2实例，可以采取两种方法

第一种方法是使用。这种方法提供了一种通过SSH协议通过终端连接到实例的传统方法，可以找到有关设置它的更多信息

---

你可以采取的第二种方法是利用。会话管理器是SSM服务的一部分，它允许您通过AWS控制台或AWS CLI以编程方式连接到EC2实例，而不是通过SSH协议连接。

我同意。我只想向OP提到，不可能通过IAM控制计算机上的SSH访问，这就是建议使用上述选项的原因。