Amazon web services 如何拒绝其他用户/角色使用IAM角色创建EC2实例_Amazon Web Services_Amazon S3_Amazon Ec2_Amazon Iam

Amazon web services 如何拒绝其他用户/角色使用IAM角色创建EC2实例

amazon-web-services amazon-s3 amazon-ec2

Amazon web services 如何拒绝其他用户/角色使用IAM角色创建EC2实例,amazon-web-services,amazon-s3,amazon-ec2,amazon-iam,Amazon Web Services,Amazon S3,Amazon Ec2,Amazon Iam,我有一个S3存储桶，里面有机密数据我添加了一个bucket策略，以便在帐户中只允许有限的角色集。这会阻止其他用户从控制台访问s3存储桶为EC2实例创建一个允许的角色，比如“foo-role”，以读取S3存储桶现在，即使是被拒绝的角色也可以创建一个虚拟机，将“foo角色”分配给这个虚拟机，使用ssh连接到这个虚拟机，并查看bucket内容是否有一种方法可以防止其他用户将“foo角色”分配给他们的EC2实例。将此策略添加到您的IAM用户。此策略将阻止用户将角色关联或替换到EC2实例 {

我有一个S3存储桶，里面有机密数据

我添加了一个bucket策略，以便在帐户中只允许有限的角色集。这会阻止其他用户从控制台访问s3存储桶

为EC2实例创建一个允许的角色，比如“foo-role”，以读取S3存储桶

现在，即使是被拒绝的角色也可以创建一个虚拟机，将“foo角色”分配给这个虚拟机，使用ssh连接到这个虚拟机，并查看bucket内容

是否有一种方法可以防止其他用户将“foo角色”分配给他们的EC2实例。

将此策略添加到您的IAM用户。此策略将阻止用户将角色关联或替换到EC2实例

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "DENY",
      "Action": [
         "ec2:AssociateIamInstanceProfile",
         "ec2:ReplaceIamInstanceProfileAssociation",
         "iam:PassRole"
      ],
      "Resource": "*"
    }
  ]
}

谢谢你，约翰。这些用户具有完全的EC2访问权限。对“foo角色”的明确拒绝会阻止他们使用该角色。