有没有办法限制EC2实例中的IAM访问

时间:2015-10-01 08:39:00

标签: amazon-ec2 amazon-iam

首先,我了解IAM角色并知道他们会提供此功能。但是,我要求附加到IAM用户的密钥。

是否有办法限制 EC2实例中的资源访问权限(仅当请求的来源与ec2实例匹配时才允许)。

例如:

  • 使用开发人员笔记本电脑的凭据:拒绝
  • 使用来自EC2实例的凭据:允许

我们希望确保如果这些密钥因任何原因而泄露,那么任何人都无法从我们的AWS环境外部控制资源。

由于

1 个答案:

答案 0 :(得分:2)

这是可能的,但您想要的粒度级别可能会导致比您想要的更多的IAM管理。可以为restrict based on IP address的IAM语句添加条件,因此您可以创建一个类似于下面列出实例IP的语句:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {"NotIpAddress": {"aws:SourceIp": [
      "192.0.2.0/24",
      "203.0.113.0/24"
    ]}}
  }
}

但是,除非您为所有实例使用弹性IP,否则他们的IP可能会随着时间的推移而发生变化,因此您需要某种方法来保持这些IAM语句的正确更新。

相关问题
最新问题