Fatal编程技术网
  • amazon-ec2/
  • Amazon ec2 有没有办法限制EC2实例中的IAM访问

Amazon ec2 有没有办法限制EC2实例中的IAM访问

amazon-ec2

Amazon ec2 有没有办法限制EC2实例中的IAM访问,amazon-ec2,amazon-iam,Amazon Ec2,Amazon Iam,首先也是最重要的是,我知道IAM的角色,并且知道他们将提供此功能。但是,我需要一个连接到IAM用户的密钥 是否有方法限制从EC2实例内访问资源(仅当请求的来源与EC2实例匹配时才允许) 例如: 使用来自开发人员笔记本电脑的凭据:拒绝 使用来自EC2实例的凭据:允许 我们希望确保,如果这些密钥因为任何原因被泄露,没有人能够控制AWS环境之外的资源 谢谢这是可能的,但是您想要的粒度级别可能会导致更多的IAM管理。可以将条件添加到IAM语句中,这样您就可以创建一个类似下面列出实例IP的语句: {

首先也是最重要的是,我知道IAM的角色,并且知道他们将提供此功能。但是,我需要一个连接到IAM用户的密钥

是否有方法限制从EC2实例内访问资源(仅当请求的来源与EC2实例匹配时才允许)

例如:

  • 使用来自开发人员笔记本电脑的凭据:拒绝
  • 使用来自EC2实例的凭据:允许
我们希望确保,如果这些密钥因为任何原因被泄露,没有人能够控制AWS环境之外的资源

谢谢

这是可能的,但是您想要的粒度级别可能会导致更多的IAM管理。可以将条件添加到IAM语句中,这样您就可以创建一个类似下面列出实例IP的语句:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {"NotIpAddress": {"aws:SourceIp": [
      "192.0.2.0/24",
      "203.0.113.0/24"
    ]}}
  }
}
但是,除非您对所有实例都使用弹性IP,否则它们的IP会随着时间的推移而变化,因此您需要某种方法来保持这些IAM语句的正确更新。

是的,我看到了这个示例,并对其进行了修改,但没有用。我从See部分获取了钥匙:条件可用钥匙