根据 EC2 实例和用户限制对 S3 的访问

【问题标题】:Restrict access to S3 based on EC2 Instance and User根据 EC2 实例和用户限制对 S3 的访问
【发布时间】:2017-03-17 07:21:23
【问题描述】:

我在之前的帖子中看到,我可以使用 EC2 实例 IAM 角色限制对 S3 存储桶的访问。但这里的问题是,如果我有一个包含多个用户的账户,我不能将 IAM 角色的使用限制为该账户中的特定组或个人。这种无能阻止我阻止该账户中的任何人使用该 IAM 角色旋转实例。

所以我的困境是,如果我已根据 EC2 角色授予 S3 访问权限,并且无法锁定账户中可以使用该角色的用户,这将向账户中的每个人打开我的 S3 存储桶。

如果有什么办法,请告诉我 (1) 限制 EC2 实例使用特定角色启动,或者, (2) 根据登录实例的 EC2 角色和用户限制 S3 访问。

【问题讨论】:

    标签: amazon-web-services amazon-s3 amazon-ec2 amazon-iam restrict


    【解决方案1】:

    启动已分配的 Amazon EC2 实例需要 PassRole 权限,该权限可以进一步指定可以将哪些角色传递给实例。

    默认情况下,您不应授予任何人PassRole 权限。然后,您可以将其分配给适当的用户/组,准确指定他们可以使用的角色。

    这避免了权限有限的用户通过启动具有角色的实例,然后使用授予该实例的临时凭据执行超出其分配权限的活动来获得额外权限的机会。

    这类似于AssumeRole 权限,它控制允许谁担任哪些角色。

    欲了解更多信息,请参阅:Granting Permission to Launch EC2 Instances with IAM Roles (PassRole Permission)

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2016-09-05
      • 2018-02-01
      • 1970-01-01
      • 2021-04-19
      • 2021-07-11
      • 1970-01-01
      • 1970-01-01
      • 2017-12-10
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode