小贝子编程

是否有一种方法可以限制EC2实例内的IAM访问



首先,我知道IAM角色,并且知道它们将提供此功能。但是,我需要一个附加到IAM用户的密钥。

是否有一种方法可以限制在 EC2实例中对资源的访问(只有当请求的来源与EC2实例匹配时才允许)。例如:

  • 使用开发者笔记本电脑的凭据:denied
  • 使用EC2实例的凭据:allowed

我们要确保,如果这些密钥因任何原因泄露,没有人能够从我们的AWS环境之外控制资源。

谢谢

这是可能的,但是您想要的粒度级别可能会导致比您希望的更多的IAM管理。可以在IAM语句中添加基于IP地址的限制条件,因此您可以创建如下所示的语句,列出您的实例的IP:

{
  "Version": "2012-10-17",
  "Statement": {
    "Effect": "Deny",
    "Action": "*",
    "Resource": "*",
    "Condition": {"NotIpAddress": {"aws:SourceIp": [
      "192.0.2.0/24",
      "203.0.113.0/24"
    ]}}
  }
}

但是,除非您为所有实例使用弹性ip,否则它们的ip可能会随着时间的推移而变化,因此您需要一些方法来保持这些IAM语句的正确更新。

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium