本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
在 Auto Scaling 群组中控制亚马逊 EC2 启动模板的使用情况
Amazon A EC2 uto Scaling 支持在您的 Auto Scaling 群组中使用亚马逊 EC2 启动模板。我们建议您允许用户通过启动模板创建 Auto Scaling 群组,因为这样做可以让他们使用 Amazon A EC2 uto Scaling 和亚马逊的最新功能 EC2。例如,用户必须指定启动模板才能使用混合实例策略。
您可以使用该AmazonEC2FullAccess政策向用户授予使用其账户中的 Amazon A EC2 uto Scaling 资源、启动模板和其他 EC2 资源的完全访问权限。或者,您可以创建自己的自定义 IAM policy,为用户授予使用启动模板的精细访问权限,如本主题所述。
您可以为自己使用量身定制的示例策略
下面显示您可以为自身使用量身定制的基础权限策略示例。此策略授予创建、更新和删除所有自动扩缩组的权限,但仅限于组使用标签 purpose=testingDescribe 操作的权限。由于 Describe 操作不支持资源级权限,因此,您必须在不带条件的单独语句中必须指定它们。
具有此策略的 IAM 身份(用户或角色)有权使用启动模板创建或更新自动扩缩组,因为他们还有权使用 ec2:RunInstances 操作。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup", "autoscaling:DeleteAutoScalingGroup" ], "Resource": "*", "Condition": { "StringEquals": { "autoscaling:ResourceTag/purpose": "testing" } } }, { "Effect": "Allow", "Action": [ "autoscaling:Describe*", "ec2:RunInstances" ], "Resource": "*" } ] }
创建或更新自动扩缩组的用户可能需要一些相关权限,例如:
-
ec2: CreateTags — 要在创建时向实例和卷添加标签,用户必须拥有 IAM 策略中的
ec2:CreateTags权限。有关更多信息,请参阅 标记实例和卷所需的权限。 -
ia PassRole m: — 要从包含 EC2实例配置文件(IAM 角色的容器)的启动模板启动实例,用户还必须拥有 IAM 策略中的
iam:PassRole权限。有关更多信息和示例 IAM policy,请参阅 适用于在 Amazon EC2 实例上运行的应用程序的 IAM 角色。 -
ssm: GetParameters — 要从使用 Amazon Systems Manager 参数的启动模板启动 EC2实例,用户还必须拥有 IAM 策略中的
ssm:GetParameters权限。有关更多信息,请参阅 IDs 在启动模板中使用 Amazon Systems Manager 参数而不是 AMI。
当用户与自动扩缩组交互时,会检查启动实例时要完成的操作的这些权限。有关更多信息,请参阅 ec2:RunInstances 和 iam:PassRole 的权限验证。
以下示例显示了您可用于控制 IAM 用户使用启动模板时具有的权限的策略语句。
主题
需要具有特定标签的启动模板
在授予ec2:RunInstances权限时,您可以指定用户在启动带有启动模板的实例时只能使用带有特定标签的启动模板或特定于 IDs 限制权限的启动模板。您还可以通过指定 RunInstances 调用的其他资源级权限,控制 AMI 和使用启动模板的任何人都可以在启动实例时引用和使用的其他资源。
以下示例限制了针对 ec2:RunInstances 操作的权限,该操作可用于启动位于指定区域中且具有标签 purpose=testing
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region:account-id:launch-template/*", "Condition": { "StringEquals": { "aws:ResourceTag/purpose": "testing" } } }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region::image/ami-*", "arn:aws:ec2:region:account-id:instance/*", "arn:aws:ec2:region:account-id:subnet/*", "arn:aws:ec2:region:account-id:volume/*", "arn:aws:ec2:region:account-id:key-pair/*", "arn:aws:ec2:region:account-id:network-interface/*", "arn:aws:ec2:region:account-id:security-group/*" ] } ] }
有关在启动模板中使用基于标签的策略的更多信息,请参阅 A mazon EC2 用户指南中的使用 IAM 权限控制启动模板的访问权限。
需要启动模板和版本号
您还可以使用 IAM 权限强制要求在创建或更新自动扩缩组时必须指定启动模板和启动模板的版本号。
以下示例仅在指定启动模板和启动模板版本号时才允许用户创建和更新自动扩缩组。如果具有此策略的用户忽略版本号以指定 $Latest 或 $Default 启动模板版本,或者改为尝试使用启动配置,操作将失败。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup" ], "Resource": "*", "Condition": { "Bool": { "autoscaling:LaunchTemplateVersionSpecified": "true" } } }, { "Effect": "Deny", "Action": [ "autoscaling:CreateAutoScalingGroup", "autoscaling:UpdateAutoScalingGroup" ], "Resource": "*", "Condition": { "Null": { "autoscaling:LaunchConfigurationName": "false" } } } ] }
需要使用实例元数据服务版本 2 (IMDSv2)
为了提高安全性,您可以将用户的权限设置为要求使用所需的启动模板 IMDSv2。有关更多信息,请参阅 Amazon EC2 用户指南中的配置实例元数据服务。
以下示例指定,除非该实例也被选中要求使用 IMDSv2 (由"ec2:MetadataHttpTokens":"required"),否则用户无法调用ec2:RunInstances操作。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "RequireImdsV2", "Effect": "Deny", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:*:*:instance/*", "Condition": { "StringNotEquals": { "ec2:MetadataHttpTokens": "required" } } } ] }
提示
要强制替换 Auto Scaling 使用新启动模板或配置了实例元数据选项的启动模板的新版本启动模板启动,您可以启动实例刷新。有关更多信息,请参阅 更新自动扩缩实例。
限制对 Amazon EC2 资源的访问
以下示例说明如何使用资源级权限和带标签的资源来限制对 Ama EC2 zon 资源的访问。
示例 1:将 Amazon EC2 实例的启动限制为特定资源和实例类型
以下示例通过限制对 Amazon EC2 资源的访问来控制用户可以启动的实例的配置。要为启动模板中指定的资源指定资源级权限,必须在 RunInstances 操作语句中包含这些资源。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": [ "arn:aws:ec2:region:account-id:launch-template/*", "arn:aws:ec2:region::image/ami-04d5cc9b88example", "arn:aws:ec2:region:account-id:subnet/subnet-1a2b3c4d", "arn:aws:ec2:region:account-id:volume/*", "arn:aws:ec2:region:account-id:key-pair/*", "arn:aws:ec2:region:account-id:network-interface/*", "arn:aws:ec2:region:account-id:security-group/sg-903004f88example" ] }, { "Effect": "Allow", "Action": "ec2:RunInstances", "Resource": "arn:aws:ec2:region:account-id:instance/*", "Condition": { "StringEquals": { "ec2:InstanceType": ["t2.micro", "t2.small"] } } } ] }
在此示例中,有两个语句:
-
第一条语句要求用户使用特定安全组 (
subnet-1a2b3c4dsg-903004f88exampleami-04d5cc9b88example -
第二个语句仅允许用户使用
t2.microt2.small但请注意,目前尚无有效的方法可以完全阻止有权使用启动模板启动实例的用户启动其他实例类型。这是因为可以覆盖启动模板中指定的实例类型,以使用通过基于属性的实例类型选择进行定义的实例类型。
有关可用于控制用户可以启动的实例配置的资源级权限的完整列表,请参阅《服务授权参考》 EC2中的 Amazon 操作、资源和条件密钥。
示例 2:在 Amazon EC2 实例启动时需要标签并限制资源访问权限
以下示例策略展示了如何使用基于身份的策略中的条件根据标签控制对 Amazon EC2 资源的访问权限。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "InstanceTags", "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:555555555555:instance/*" ], "Condition": { "StringEquals": { "aws:RequestTag/owner": "dev" } } }, { "Sid": "InstanceBoundaries" "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:us-east-1::image/*", "arn:aws:ec2:us-east-1:555555555555:subnet/*", "arn:aws:ec2:us-east-1:555555555555:network-interface/*" ], }, { "Sid": "InstanceResourceTags", "Effect": "Allow", "Action": [ "ec2:RunInstances" ], "Resource": [ "arn:aws:ec2:us-east-1:555555555555:key-pair/*", "arn:aws:ec2:us-east-1:555555555555:security-group/*", "arn:aws:ec2:us-east-1:555555555555:launch-template/*" "arn:aws:ec2:us-east-1:555555555555:volume/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/purpose": "testing" } } } ] }
在此示例中,有三个语句:
-
只有在请求中使用带
owner=dev的标签时,第一条语句才允许用户在指定区域启动实例。 -
第二条语句允许用户访问指定区域中的 AMI、子网和网络接口。
-
第三条语句允许用户使用带有标签的现有密钥对、安全组、启动模板和卷在指定区域启动实例
purpose=testing。
有关更多信息,请参阅 IAM 用户指南中的使用标签控制对 Amazon 资源的访问权限。
标记实例和卷所需的权限
以下示例允许用户在创建时标记实例和卷。如果在启动模板中指定了标签,则需要此策略。有关更多信息,请参阅 Amazon EC2 用户指南中的授予在创建期间为资源添加标签的权限。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:region:account-id:*/*", "Condition": { "StringEquals": { "ec2:CreateAction": "RunInstances" } } } ] }
其他启动模板权限
您必须向控制台用户授予对 ec2:DescribeLaunchTemplates 和 ec2:DescribeLaunchTemplateVersions 操作的权限。如果没有这些权限,则无法在 Auto Scaling 组向导中加载启动模板数据,并且用户无法逐步通过向导使用启动模板启动实例。您可以在 IAM policy 语句的 Action 元素中指定这些其他操作。
ec2:RunInstances 和 iam:PassRole 的权限验证
用户可以指定其自动扩缩组使用的启动模板版本。根据其权限,这可以是特定的编号版本,也可以是启动模板的 $Latest 或 $Default 版本。如果是后者,请特别小心。这可能会覆盖您打算限制的 ec2:RunInstances 和 iam:PassRole 的权限。
本节介绍在自动扩缩组中使用最新或默认版本的启动模板的场景。
当用户调用CreateAutoScalingGroupUpdateAutoScalingGroupStartInstanceRefresh APIs、或时,Amazon A EC2 uto Scaling 会根据当时最新或默认版本的启动模板版本检查其权限,然后再继续处理请求。这将验证启动实例时要完成的操作的权限,例如 ec2:RunInstances 和 iam:PassRole 操作。为此,我们发出 Amaz EC2 RunInstanceson 试运行调用,以验证用户是否具有执行该操作所需的权限,而无需实际提出请求。当返回响应时,Amazon A EC2 uto Scaling 会读取该响应。如果用户的权限不允许执行给定操作,Amazon A EC2 uto Scaling 会将请求失败,并向用户返回一个包含有关缺失权限信息的错误。
初始验证和请求完成后,每当实例启动时,Amazon A EC2 uto Scaling 都会使用其服务相关角色的权限启动最新或默认版本,即使实例已更改。这意味着即使启动模板的使用用户没有 iam:PassRole 权限,也可以更新启动模板以将 IAM 角色传递给实例。
如果您想限制谁有权访问配置群组以使用 $Latest 或 $Default 版本,请使用 autoscaling:LaunchTemplateVersionSpecified 条件键。这样可以确保 Auto Scaling 组仅在用户调用CreateAutoScalingGroup和时接受特定的编号版本UpdateAutoScalingGroup APIs。有关展示如何将此条件密钥添加到 IAM policy 的示例,请参阅 需要启动模板和版本号。
对于配置为使用$Latest或$Default启动模板版本的自动扩缩组,请考虑限制谁可以创建和管理启动模板的版本,包括允许用户指定默认启动模板版本的ec2:ModifyLaunchTemplate操作。有关更多信息,请参阅 Amazon EC2 用户指南中的控制版本控制权限。
相关资源
要详细了解查看、创建和删除启动模板以及启动模板版本的权限,请参阅 A mazon EC2 用户指南中的使用 IAM 权限控制启动模板的访问权限。
有关可用于控制RunInstances呼叫访问权限的资源级权限的更多信息,请参阅《服务授权参考》 EC2中的 Amazon 操作、资源和条件密钥。