AmazonEC2FullAccess 和安全性

Question

我使用 Amazon EC2 托管一些网站和数据库。

我明天有一位新开发人员加入我的行列。 如果我创建一个 IAM 用户，并向他附加“AmazonEC2FullAccess - arn:aws:iam::aws:policy/AmazonEC2FullAccess- 通过 AWS 管理控制台提供对 Amazon EC2 的完全访问权限。）策略，

他是否能够访问存储在过去创建的 linux ec2 实例中的机密信息。基本上，这个策略是否允许访问预先创建的 linux 实例。

编辑：如果他/她尝试磁盘恢复过程怎么办？例如，将一个 vm 的磁盘挂载到一个新的 ec2 实例中

Answer 1

IAM 角色仅授予某人访问 AWS EC2 API 的权限，您可以在其中执行创建新实例、关闭现有实例等操作。这不会授予某人登录任何 EC2 服务器的权限。为此，您需要向某人提供创建服务器时设置的 SSH 密钥（适用于 Linux）或密码（适用于 Windows）。

Answer 2

当您向用户授予 AmazonEC2FullAccess 访问权限时，他将能够查看 AWS 账户中的所有 EC2 实例。即使您不向他提供预创建 EC2 实例的密钥，他也可以获取预创建 EC2 实例的 AMI 并使用新密钥启动它并访问该实例。

他还可以执行您在用例中提到的磁盘恢复过程。所以你有以下一些选择。

1. 不提供 AmazonEC2FullAccess 询问他服务器需要什么规范并根据规范启动 EC2 并为他提供对该 EC2 实例的 ssh 监禁用户访问权限。

2. 设置云跟踪，以便您可以监控该用户创建的资源是否存在任何可疑活动https://aws.amazon.com/cloudtrail/

3. 第三个选项正如您所说，他是开发人员，只需为他提供部署和 git 访问权限即可访问在 EC2 实例上运行的应用程序。