我在之前的帖子中看到,我可以使用EC2实例IAM角色限制对S3存储桶的访问。但这里的问题是,如果我有一个帐户中有多个用户,我就不能将IAM角色的使用限制在该帐户中的特定组或个人。这种无法阻止我阻止该帐户中的任何人使用该IAM角色来旋转实例。
所以我的困境是,如果我基于EC2角色授予了S3访问权限并且无法锁定可以使用该角色的帐户中的用户,则会打开我的S3存储桶给帐户中的每个人。
如果有办法我也可以告诉我 (1)限制使用特定角色进行旋转的EC2实例,或, (2)根据EC2角色和用户登录实例限制S3访问。
答案 0 :(得分:1)
启动分配的Amazon EC2实例需要PassRole权限,这可以进一步指定可以将哪些角色传递给实例。
默认情况下,您不应该向任何人授予PassRole权限。然后,您可以将其分配给适当的用户/组,准确指定他们可以使用哪些角色。
这可以避免有限权限内的用户通过启动具有角色的实例获得额外权限,然后使用授予该实例的临时凭据来执行超出其分配权限的活动。
这与AssumeRole权限类似,后者控制谁可以承担哪些角色。
有关详细信息,请参阅:Granting Permission to Launch EC2 Instances with IAM Roles (PassRole Permission)