Amazon web services 编写IAM策略以通过EC2标记限制AWS SSM与EC2实例的连接
我希望所有用户都能够使用AWS SSM(系统管理器)“startsession”命令连接到EC2实例,但通过EC2实例上的标记限制他们可以连接到哪些实例。属于“webserver dev”组的IAM用户将有一个策略,允许他们Amazon web services 编写IAM策略以通过EC2标记限制AWS SSM与EC2实例的连接,amazon-web-services,tagging,ssm,Amazon Web Services,Tagging,Ssm,我希望所有用户都能够使用AWS SSM(系统管理器)“startsession”命令连接到EC2实例,但通过EC2实例上的标记限制他们可以连接到哪些实例。属于“webserver dev”组的IAM用户将有一个策略,允许他们aws ssm启动会话--将i-12341234定位到标记名为“SSMTag”、值为“webserver”的任何EC2实例。devserver dev组中的任何用户都可以连接到SSMTag='devserver'等的实例 我有一个允许访问任何EC2实例的策略,但只要我在策略J
aws ssm启动会话--将i-12341234
定位到标记名为“SSMTag”、值为“webserver”的任何EC2实例。devserver dev组中的任何用户都可以连接到SSMTag='devserver'等的实例
我有一个允许访问任何EC2实例的策略,但只要我在策略JSON中添加一个“condition”子句,访问总是被拒绝(或总是被允许)
我尝试过为策略、aws:TagKeys、ssm:ResourceTag、ec2:ResourceTag和其他一些添加具有各种不同语法的条件,但似乎没有一个条件允许我做我想做的事情。似乎表明我完全可以做到这一点,但要么我不理解标记是如何工作的,要么我误解了文档
我当前针对开发服务器的策略如下所示:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringEquals": {
"ssm:ResourceTag/SSMTag": "DevServer"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "ssm:TerminateSession",
"Resource": "arn:aws:ssm:*:*:session/${aws:username}-*"
}
]
}
我还尝试了以下条件行变化:
"Condition": {
"StringEquals": {
"aws:ResourceTag/SSMTag": "DevServer"
}
}
及
我想要的是,如果用户不是webserver dev组的一部分,他们就不能运行aws ssm start session
并连接到任何ec2实例,除非他们被标记为带有webserver值的标记SSMTag
结果是,作为策略所附加到的组的一部分的用户要么被拒绝访问,要么被允许连接到任何实例,而不管附加到该实例的标记是什么
我读过很多类似问题的解决方案,基本上都是“一些函数不支持资源级别标记,但文档似乎明确指出它支持资源级别标记。我收到AWS支持部门的一封电子邮件,看起来这是一个与条件的“StringEquals”部分有关的问题。此策略工作正常:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"ForAnyValue:StringEqualsIfExists": {
"ssm:resourceTag/SSMTag": "DevServer"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "ssm:TerminateSession",
"Resource": "arn:aws:ssm:*:*:session/${aws:username}-*"
}
]
}
语法差异为“ForAnyValue:StringEqualsIfExists”:{
希望这对将来的人有所帮助。当你说“开发服务器的当前策略看起来像这样”时,你的意思是“开发服务器开发组的当前策略看起来像这样”,是吗?是的,我错了。这是附加到用户所在组的策略。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": "ssm:StartSession",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"ForAnyValue:StringEqualsIfExists": {
"ssm:resourceTag/SSMTag": "DevServer"
}
}
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "ssm:TerminateSession",
"Resource": "arn:aws:ssm:*:*:session/${aws:username}-*"
}
]
}