Warning: file_get_contents(/data/phpspider/zhask/data//catemap/0/amazon-s3/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Amazon web services 仅允许Amazon CLI特殊用户_Amazon Web Services_Amazon S3_Amazon Ec2_Amazon - Fatal编程技术网
Fatal编程技术网

Amazon web services 仅允许Amazon CLI特殊用户

amazon-web-services amazon-s3 amazon-ec2

Amazon web services 仅允许Amazon CLI特殊用户,amazon-web-services,amazon-s3,amazon-ec2,amazon,Amazon Web Services,Amazon S3,Amazon Ec2,Amazon,我的Amazon IAM中有许多用户。所有这些都添加到管理组。我可以拒绝所有人使用Amazon CLI,只允许一个不更改组成员身份吗 谢谢。听起来您的情况是: 您的用户被授权通过其EC2密钥对访问Amazon EC2实例 EC2实例是使用已授予特定权限的角色启动的 因此,任何登录到EC2实例的用户都可以运行命令,以利用分配给角色的权限 您不希望所有用户都具有此类权限 如果不希望所有用户都具有此类权限,则不应将角色分配给EC2实例。相反,应分别向服务器上的每个应用程序提供IAM凭据(尽管这本身

我的Amazon IAM中有许多用户。所有这些都添加到管理组。我可以拒绝所有人使用Amazon CLI,只允许一个不更改组成员身份吗

谢谢。

听起来您的情况是:

  • 您的用户被授权通过其EC2密钥对访问Amazon EC2实例
  • EC2实例是使用已授予特定权限的角色启动的
  • 因此,任何登录到EC2实例的用户都可以运行命令,以利用分配给角色的权限
  • 您不希望所有用户都具有此类权限
如果不希望所有用户都具有此类权限,则不应将角色分配给EC2实例。相反,应分别向服务器上的每个应用程序提供IAM凭据(尽管这本身可能需要很多工作)

另一个选项是允许用户使用应用程序(例如通过公开的端口,如web服务器),但不允许他们登录到实例。

那么您想拒绝管理员组用户使用AWS CLI吗?听起来您需要创建更细粒度的组,而不是让每个人都成为管理员。是的。我认为这是一种政策。管理员可以从控制台AWS获取此策略。发生了什么?例如,我可以拒绝任何用户(包括管理员)访问Windows或Linux(chmod 000)中的任何对象。在AWSI know中,让每个body都成为管理员不是推荐的最佳做法。但是钥匙有一个问题。如果您有访问密钥,则可以访问CLI。如果更改密码,则不会按密钥更改访问级别。这是主要问题。