我有一个带有机密数据的S3存储桶 .
我添加了一个存储桶策略,只允许在帐户中设置一组有限的角色 . 这会阻止其他用户从控制台访问s3存储桶 .
为EC2实例创建了一个允许的角色,例如“foo-role”,以读取S3存储桶 .
现在,即使被拒绝的角色也可以创建一个虚拟机,将“foo-role”分配给该虚拟机,将ssh分配给该虚拟机并查看存储桶内容 .
有没有办法阻止其他用户将“foo-role”分配给他们的EC2实例 .
将此政策添加到您的IAM用户 . 此策略将阻止用户将角色关联或替换为EC2实例 .
{ "Version": "2012-10-17", "Statement": [ { "Effect": "DENY", "Action": [ "ec2:AssociateIamInstanceProfile", "ec2:ReplaceIamInstanceProfileAssociation", "iam:PassRole" ], "Resource": "*" } ] }
1 回答
将此政策添加到您的IAM用户 . 此策略将阻止用户将角色关联或替换为EC2实例 .