我有一个包含机密数据的 S3 存储桶。
我添加了一个存储桶策略,以仅允许账户中的一组有限角色。这将阻止其他用户从控制台访问 s3 存储桶。
其中一个允许的角色,例如为 EC2 实例创建"foo-role"以读取 S3 存储桶。
现在,即使是被拒绝的角色也可以创建虚拟机,将"foo-role"分配给此虚拟机,通过 ssh 连接到此虚拟机并查看存储桶内容。
有没有办法防止其他用户将"foo-role"分配给他们的 EC2 实例。
将此策略添加到您的 IAM 用户。此策略将阻止用户将角色关联或替换到 EC2 实例。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "DENY",
"Action": [
"ec2:AssociateIamInstanceProfile",
"ec2:ReplaceIamInstanceProfileAssociation",
"iam:PassRole"
],
"Resource": "*"
}
]
}