我使用AmazonEC2来托管一些网站和数据库。
明天我有一个新的开发人员加入。如果我创建了一个IAM用户,并将"AmazonEC2FullAccess-arn:aws:IAM::aws:policy/AAmazonEC2fullAccess-通过aws管理控制台提供对AmazonEC2的完全访问"策略附加到他,
他是否能够访问存储在过去创建的linuxec2实例中的机密。基本上,这个策略是否以某种方式允许访问预先创建的linux实例。
编辑:如果他/她尝试磁盘恢复程序怎么办?例如,在新的ec2实例中装载vm的磁盘
当您向用户授予AmazonEC2FullAccess访问权限时,他将能够查看AWS帐户中的所有EC2实例。即使您不向他提供预创建的EC2实例的密钥,他也可以获取预创建的EC2实例的AMI,并使用新密钥启动它,然后访问该实例。
他还可以像您在用例中提到的那样执行磁盘恢复过程。因此,您有以下一些选项。
-
不要提供AmazonEC2FullAccess,询问他需要什么规格的服务器,并根据规格启动EC2,并为他提供对该EC2实例的ssh监禁用户访问权限。
-
设置云跟踪,以便您可以监控该用户创建的资源是否有任何可疑活动https://aws.amazon.com/cloudtrail/
-
第三种选择是,正如您所提到的,他是开发人员,只需为他提供对EC2实例上运行的应用程序的部署和git访问权限。
IAM角色只允许某人访问AWS EC2 API,您可以在其中执行创建新实例、关闭现有实例等操作。这不会允许某人登录任何EC2服务器。为此,您需要向某人提供创建服务器时设置的SSH密钥(适用于Linux)或密码(适用于Windows)。