Можем ли мы определить политику разрешений для экземпляра EC2, которая разрешает вход в систему из роли IAM?

Question

Мы можем назначить экземпляру EC2 роль IAM.

1. Теперь предположим, что у нас есть два экземпляра ec2 A (в publi c su bnet) и B (в закрытом su bnet )
2. Теперь можем ли мы также разрешить s sh от A до B, если A имеет роль IAM R, определив политику разрешений на экземпляре EC2 B, чтобы разрешить доступ к роли R?

Прямо сейчас я могу подключиться от A к B с помощью s sh, загрузив закрытый ключ в A, а затем используя ssh -i. Но можем ли мы избежать хранения закрытого ключа на A? Есть какой-нибудь способ? Или обязательно хранить закрытый ключ?

Answer 1

Если вы хотите ограничить доступ пользователей к вашим индивидуальным экземплярам EC2 с помощью IAM, вы можете выбрать два подхода.

Первый подход - использовать EC2 Instance Connect . Этот подход обеспечивает традиционный подход к подключению к экземпляру через терминал по протоколу S SH, более подробную информацию о его настройке можно найти здесь .

Второй подход, который вы могли бы take - использовать Session Manager . Диспетчер сеансов является частью служб SSM, он позволяет программно подключаться к вашему экземпляру EC2 через консоль AWS или AWS CLI вместо подключения по протоколу S SH.