我想将访问IAM用户的权限授予EC2实例
换句话说,我希望他能够使用ssh和密钥访问它,就像我使用root用户一样:
ssh -i ACCESS_KEYS_DIRECTORY_PATH ubuntu@ec2-instance-id.region.compute.amazonaws.com
为此,我可以遵循两种场景:
场景1:
- 使用root用户创建一个EC2实例
- 将允许IAM用户访问的策略附加到此EC2实例
场景2:
- 将策略附加到IAM用户,允许他创建EC2实例
- 使用IAM用户登录控制台,然后创建EC2实例
- 生成允许用户访问此实例的ACCESS_KEYS
场景3:
- 使用root用户创建一个实例
- 由于每个实例都有自己的
ACCESS_KEYS,因此不需要执行我上面提到的任何操作,我只需将访问密钥交给IAM用户即可
那么我应该遵循哪个场景,为什么?
传统的基于EC2 Keypair的SSH访问完全独立于AWS IAM。您生成的私钥文件可以提供给任何人,并且他们可以通过SSH访问实例(假设用户可以连接到SSH端口并且SSH守护进程正在运行(。
如果您需要通过IAM策略提供SSH访问,那么通过会话管理器启用和控制SSH连接的权限可能是您的最佳选择。
使用EC2实例连接连接到您的Linux实例。
AmazonEC2实例连接提供了一种使用安全Shell(SSH(连接到Linux实例的简单而安全的方法。使用EC2实例连接,您可以使用AWS身份和访问管理(IAM(策略和主体来控制对实例的SSH访问,从而无需共享和管理SSH密钥。所有使用EC2实例连接的连接请求都会记录到AWS CloudTrail,以便您可以审核连接请求。
您可以使用EC2实例连接,使用您选择的Amazon EC2控制台(基于浏览器的客户端(、Amazon EC2 Instance Connect CLI或SSH客户端连接到您的实例。