如何通过 EC2 标签限制 AWS SSM 访问

tag-icon tag-icon amazon-web-services amazon-ec2 amazon-iam aws-session-manager
如何通过 EC2 标签限制 AWS SSM 访问

https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awssystemsmanager.html#awssystemsmanager-policy-keys

我找不到能帮我解决这个问题的答案

我正在看这个例子:https://docs.aws.amazon.com/systems-manager/latest/userguide/getting-started-restrict-access-examples.html

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ssm:StartSession"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:instance/*"
            ],
            "Condition": {
                "StringLike": {
                    "ssm:resourceTag/Finance": [
                        "WebServers"
                    ]
                }
            }
        }
    ]
}

aws:TagKeys、ssm:resourceTag/tag-key 和 aws:ResourceTag/${TagKey} 之间有什么区别

什么是 ssm:resourceTag?它与 aws:ResourceTag/${TagKey} 不同吗?它是系统管理器应用的特殊标签吗?我不使用系统管理器将标签应用于 ec2 实例,我只是手动标记它们。如何通过我手动应用于它们的标签来限制会话管理器对我的 ec2 实例的访问?

答案1

正如文档所说它的 EC2 实例标签,我已经尝试过,它有效,顺便说一句,也许你应该启用 SSM 代理将实例信息挖掘到 SSM 中,你应该能够在 AWS Systems Manager -> Fleet Manager -> Instance ID: XXX 中看到实例信息,例如实例标签。

当我致力于通过实例标签过滤使用访问时,在 SSM 中启用库存后它就可以正常工作了。

相关内容