如何拒绝其他用户/角色创建具有IAM角色的EC2实例

时间:2017-11-16 22:50:40

标签: amazon-web-services amazon-s3 amazon-ec2 amazon-iam

我有一个带有机密数据的S3存储桶。

我添加了一个存储桶策略,只允许在帐户中设置一组有限的角色。这会阻止其他用户从控制台访问s3存储桶。

为EC2实例创建了一个允许的角色,即“foo-role”,以读取S3存储桶。

现在,即使被拒绝的角色也可以创建虚拟机,为此虚拟机分配“foo-role”,将ssh分配给此虚拟机并查看存储桶内容。

有没有办法阻止其他用户将“foo-role”分配给他们的EC2实例。

1 个答案:

答案 0 :(得分:3)

将此政策添加到您的IAM用户。此策略将阻止用户将角色关联或替换为EC2实例。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "DENY",
      "Action": [
         "ec2:AssociateIamInstanceProfile",
         "ec2:ReplaceIamInstanceProfileAssociation",
         "iam:PassRole"
      ],
      "Resource": "*"
    }
  ]
}
相关问题
最新问题