我有一个带有机密数据的S3存储桶。
我添加了一个存储桶策略,只允许在帐户中设置一组有限的角色。这会阻止其他用户从控制台访问s3存储桶。
为EC2实例创建了一个允许的角色,即“foo-role”,以读取S3存储桶。
现在,即使被拒绝的角色也可以创建虚拟机,为此虚拟机分配“foo-role”,将ssh分配给此虚拟机并查看存储桶内容。
有没有办法阻止其他用户将“foo-role”分配给他们的EC2实例。
答案 0 :(得分:3)
将此政策添加到您的IAM用户。此策略将阻止用户将角色关联或替换为EC2实例。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "DENY",
"Action": [
"ec2:AssociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation",
"iam:PassRole"
],
"Resource": "*"
}
]
}