Publié le: Mar 6, 2023
Vous pouvez désormais utiliser les propriétés de contrôle des informations d'identification afin de restreindre plus facilement l'utilisation de vos rôles IAM pour EC2.
Les rôles IAM pour EC2 permettent à vos applications d'effectuer des demandes d'API en toute sécurité sans que vous ayez à gérer directement les informations d'identification de sécurité. Les informations d'identification IAM temporaires et rotatives sont automatiquement fournies au service de métadonnées de vos instances avec les autorisations que vous avez définies pour le rôle. Ainsi, vos applications, généralement via les kits SDK ou l'interface de ligne de commande AWS, récupèrent et utilisent ces informations d'identification temporaires.
Auparavant, si vous vouliez restreindre l'emplacement réseau où ces informations d'identification pouvaient être utilisées, vous deviez coder en dur les ID VPC et/ou les adresses IP des rôles dans la politique des rôles ou la politique Point de terminaison d'un VPC. Cette approche entraînait des frais administratifs et potentiellement la mise en place de nombreuses politiques différentes pour différents rôles, VPC, etc.
Chaque identifiant de rôle possède désormais deux nouvelles propriétés, des clés de condition globales AWS, qui ajoutent des informations sur l'instance à partir de laquelle elles ont été initialement émises. Ces propriétés, l'ID VPC et l'adresse IP privée principale de l'instance, peuvent être utilisées dans les politiques IAM, les politiques de contrôle des services (SCP), les politiques de point de terminaison d'un VPC ou les politiques de ressources afin de comparer l'emplacement réseau d'origine des informations d'identification à celui où elles sont utilisées. Des politiques largement applicables peuvent désormais limiter l'utilisation de vos informations d'identification de rôle uniquement à l'endroit d'où elles proviennent. Vous trouverez des exemples de ces politiques dans ce billet de blog. Lorsque vous créez des rôles IAM, comme pour tout principal IAM, utilisez des politiques IAM de moindre privilège qui limitent l'accès aux seuls appels d'API spécifiques nécessaires à vos applications.
Ces propriétés sont désormais disponibles dans toutes les régions AWS, y compris les régions AWS GovCloud (US). L'utilisation de cette fonction n'entraîne aucun coût supplémentaire. Pour plus d'informations sur IAM pour EC2, consultez le Guide de l'utilisateur. Pour plus d'informations sur les actions, les ressources et les clés de condition pour Amazon EC2, consultez le Guide de référence des autorisations de service.