这里的问题是我有一个s3桶(交叉账户)。我只希望我部署到ec2实例的应用程序访问存储桶(通过ec2实例角色)。但我仍然想要,用户A(没有任何角色访问s3存储桶)ssh到实例执行一些调试。我绝对不希望能够通过ssh到ec2访问S3存储桶的用户A.有办法防止这种情况吗?
答案 0 :(得分:1)
非常确定ec2角色适用于整个计算机,因此任何具有登录权限的用户都可以使用该角色执行请求。
为避免必须从实例本地调试,您可以设置日志传送并将度量标准数据导出到cloudwatch日志/指标。您还可以设置AWS SSM Run命令以允许针对实例执行特定命令/脚本。可以使用IAM策略保护CloudWatch和Run命令,以控制谁有权访问。