Amazon ec2 有没有办法限制EC2实例中的IAM访问
首先也是最重要的是,我知道IAM的角色,并且知道他们将提供此功能。但是,我需要一个连接到IAM用户的密钥 是否有方法限制从EC2实例内访问资源(仅当请求的来源与EC2实例匹配时才允许) 例如:Amazon ec2 有没有办法限制EC2实例中的IAM访问,amazon-ec2,amazon-iam,Amazon Ec2,Amazon Iam,首先也是最重要的是,我知道IAM的角色,并且知道他们将提供此功能。但是,我需要一个连接到IAM用户的密钥 是否有方法限制从EC2实例内访问资源(仅当请求的来源与EC2实例匹配时才允许) 例如: 使用来自开发人员笔记本电脑的凭据:拒绝 使用来自EC2实例的凭据:允许 我们希望确保,如果这些密钥因为任何原因被泄露,没有人能够控制AWS环境之外的资源 谢谢这是可能的,但是您想要的粒度级别可能会导致更多的IAM管理。可以将条件添加到IAM语句中,这样您就可以创建一个类似下面列出实例IP的语句: {
- 使用来自开发人员笔记本电脑的凭据:拒绝
- 使用来自EC2实例的凭据:允许
谢谢这是可能的,但是您想要的粒度级别可能会导致更多的IAM管理。可以将条件添加到IAM语句中,这样您就可以创建一个类似下面列出实例IP的语句:
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {"NotIpAddress": {"aws:SourceIp": [
"192.0.2.0/24",
"203.0.113.0/24"
]}}
}
}
但是,除非您对所有实例都使用弹性IP,否则它们的IP会随着时间的推移而变化,因此您需要某种方法来保持这些IAM语句的正确更新。是的,我看到了这个示例,并对其进行了修改,但没有用。我从See部分获取了钥匙:条件可用钥匙