我有一个用例,我需要使用户能够仅从特定EC2主机使用其分配的AWS API(即非私有API网关)密钥。是的,分配给主机的角色可能更好,但是我们需要能够识别特定用户执行的操作(即不可否认)。在该EC2主机之外(用于执行长时间运行的即席作业),MFA强制基于每个用户持有的一组单独的API密钥。由于临时工作的性质尚未确定,因此其想法是基本上拒绝在其他情况下访问这些“实例”键,而在实例内用户将获得其通常分配的权限。
但是,这可能无法实现。我最初以为我会使用aws:SourceIP来标识来源,但是当然,VPC内部IP是不可路由的,因此可以在其他地方的其他VPC中重叠。然后,我认为aws:SourceVpc可能会起作用,但它仅适用于使用私有终结点的服务(例如S3)。
那么,我对这种方法感到不满意吗?关于如何使用IAM策略将一组特定的API密钥(最佳地)限制为特定的EC2实例或特定的VPC(最好为零)的任何其他聪明的想法,无论使用那些API执行哪些AWS API操作钥匙? (即“除非在EC2实例X上,否则请拒绝所有内容”)