Amazon web services 如何拒绝其他用户/角色使用IAM角色创建EC2实例
我有一个S3存储桶,里面有机密数据 我添加了一个bucket策略,以便在帐户中只允许有限的角色集。这会阻止其他用户从控制台访问s3存储桶 为EC2实例创建一个允许的角色,比如“foo-role”,以读取S3存储桶 现在,即使是被拒绝的角色也可以创建一个虚拟机,将“foo角色”分配给这个虚拟机,使用ssh连接到这个虚拟机,并查看bucket内容Amazon web services 如何拒绝其他用户/角色使用IAM角色创建EC2实例,amazon-web-services,amazon-s3,amazon-ec2,amazon-iam,Amazon Web Services,Amazon S3,Amazon Ec2,Amazon Iam,我有一个S3存储桶,里面有机密数据 我添加了一个bucket策略,以便在帐户中只允许有限的角色集。这会阻止其他用户从控制台访问s3存储桶 为EC2实例创建一个允许的角色,比如“foo-role”,以读取S3存储桶 现在,即使是被拒绝的角色也可以创建一个虚拟机,将“foo角色”分配给这个虚拟机,使用ssh连接到这个虚拟机,并查看bucket内容 是否有一种方法可以防止其他用户将“foo角色”分配给他们的EC2实例。将此策略添加到您的IAM用户。此策略将阻止用户将角色关联或替换到EC2实例 {
是否有一种方法可以防止其他用户将“foo角色”分配给他们的EC2实例。将此策略添加到您的IAM用户。此策略将阻止用户将角色关联或替换到EC2实例
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "DENY",
"Action": [
"ec2:AssociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation",
"iam:PassRole"
],
"Resource": "*"
}
]
}
谢谢你,约翰。这些用户具有完全的EC2访问权限。对“foo角色”的明确拒绝会阻止他们使用该角色。