如何拒绝其他用户/角色创建具有 IAM 角色的 EC2 实例

【问题标题】:How to deny other users/roles from creating EC2 instances with an IAM role如何拒绝其他用户/角色创建具有 IAM 角色的 EC2 实例
【发布时间】:2017-11-17 07:18:47
【问题描述】:

我有一个包含机密数据的 S3 存储桶。

我添加了一个存储桶策略以仅允许帐户中的一组有限角色。这会阻止其他用户从控制台访问 s3 存储桶。

为 EC2 实例创建允许的角色之一,例如“foo-role”以读取 S3 存储桶。

现在,即使是被拒绝的角色也可以创建一个虚拟机,将“foo-role”分配给这个虚拟机,通过 ssh 进入这个虚拟机并查看存储桶内容。

有没有办法阻止其他用户将“foo-role”分配给他们的 EC2 实例。

【问题讨论】:

    标签: amazon-web-services amazon-s3 amazon-ec2 amazon-iam


    【解决方案1】:

    将此策略添加到您的 IAM 用户。此策略将阻止用户将角色关联或替换到 EC2 实例。

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "DENY",
      "Action": [
         "ec2:AssociateIamInstanceProfile",
         "ec2:ReplaceIamInstanceProfileAssociation",
         "iam:PassRole"
      ],
      "Resource": "*"
    }
  ]
}

    【讨论】:

    • 谢谢约翰。这些用户拥有完整的 EC2 访问权限。明确拒绝“foo-role”会阻止他们使用该角色。
    猜你喜欢
    • 2017-10-01
    • 2017-05-21
    • 2019-09-20
    • 2016-11-21
    • 2017-02-06
    • 2018-07-09
    • 1970-01-01
    • 2021-06-21
    • 2019-08-23
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode