仅允许Amazon CLI使用特殊用户

Question

我的亚马逊IAM中有很多用户。所有这些都添加到管理员组。我可以拒绝使用所有的Amazon CLI并且只允许一个不成员更改组吗？

谢谢。

Answer 1

听起来你的情况是：

• 您的用户有权通过其EC2密钥对
访问Amazon EC2实例
• 使用已获得特定权限的角色启动EC2实例
• 任何登录EC2实例的用户都可以运行AWS Command-Line Interface (CLI)命令，利用分配给角色的权限
• 您不希望所有用户都拥有此类权限

如果您不希望所有用户都拥有此类权限，则您不应将角色分配给EC2实例。相反，请为服务器上的每个应用程序单独提供IAM凭据（尽管这本身可能需要付出很多努力）。

另一个选择是允许用户使用应用程序（例如，通过暴露的端口，例如Web服务器），但不允许他们登录到实例。