Amazon web services 仅允许Amazon CLI特殊用户
我的Amazon IAM中有许多用户。所有这些都添加到管理组。我可以拒绝所有人使用Amazon CLI,只允许一个不更改组成员身份吗Amazon web services 仅允许Amazon CLI特殊用户,amazon-web-services,amazon-s3,amazon-ec2,amazon,Amazon Web Services,Amazon S3,Amazon Ec2,Amazon,我的Amazon IAM中有许多用户。所有这些都添加到管理组。我可以拒绝所有人使用Amazon CLI,只允许一个不更改组成员身份吗 谢谢。听起来您的情况是: 您的用户被授权通过其EC2密钥对访问Amazon EC2实例 EC2实例是使用已授予特定权限的角色启动的 因此,任何登录到EC2实例的用户都可以运行命令,以利用分配给角色的权限 您不希望所有用户都具有此类权限 如果不希望所有用户都具有此类权限,则不应将角色分配给EC2实例。相反,应分别向服务器上的每个应用程序提供IAM凭据(尽管这本身
谢谢。听起来您的情况是:
- 您的用户被授权通过其EC2密钥对访问Amazon EC2实例
- EC2实例是使用已授予特定权限的角色启动的
- 因此,任何登录到EC2实例的用户都可以运行命令,以利用分配给角色的权限
- 您不希望所有用户都具有此类权限
另一个选项是允许用户使用应用程序(例如通过公开的端口,如web服务器),但不允许他们登录到实例。那么您想拒绝管理员组用户使用AWS CLI吗?听起来您需要创建更细粒度的组,而不是让每个人都成为管理员。是的。我认为这是一种政策。管理员可以从控制台AWS获取此策略。发生了什么?例如,我可以拒绝任何用户(包括管理员)访问Windows或Linux(chmod 000)中的任何对象。在AWSI know中,让每个body都成为管理员不是推荐的最佳做法。但是钥匙有一个问题。如果您有访问密钥,则可以访问CLI。如果更改密码,则不会按密钥更改访问级别。这是主要问题。