在通过将其作为烘焙映像AMI的一部分来安装AWS CLI时,是否存在安全方面的考虑?
我可以看到以下安装AWS CLI的方式:
exec我在上面看到一个强烈的反对意见(来自内部社区),原因是aws实例(由Spinnaker管理)可以做的不仅仅是访问云原生资源,而且功能非常强大。因此,在这种情况下,如果我们加强其部署实例的大三角帆IAM角色,应该可以吗?
答案 0 :(得分:0)
这实际上取决于您要在每个EC2烘焙实例中使用AWS CLI做什么。它用于调试吗?它是系统功能的一部分吗? 如果仅在调试,则可以启用AWS CLI,但保留附加最低权限的AWS IAM角色。您可以具有一个具有特殊权限的角色,可以将该角色附加到所需的实例,访问该实例并执行调试操作。
除此之外,实际上不建议您在实例内部使用AWs CLI或程序包安装管理器。