AWS EC2仪表板允许用户通过
查看/更改任何给定EC2实例的用户数据行动 - >实例设置 - >查看/更改用户数据“
是否存在可以从控制台用户限制此功能的AWS IAM操作?
答案 0 :(得分:1)
通过DescribeInstanceAttribute API调用检索Amazon EC2用户数据。您可以创建策略以拒绝此类权限:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "NoAttributes",
"Effect": "Deny",
"Action": [
"ec2:DescribeInstanceAttribute"
],
"Resource": [
"*"
]
}
]
}
但是,拒绝此权限可能会产生一些意外的副作用,因为它也会阻止对其他属性的访问。所以,一定要测试一下。
同样值得指出的是,用户数据仅在第一次实例启动时执行("每个实例-id"一次)。因此,即使用户能够编辑用户数据,它也不会在首次启动后实际执行。