Restreindre l'accès à S3 en fonction de l'instance EC2 et de l'utilisateur

Question

J'ai déjà vu dans les publications précédentes que je peux restreindre l'accès au compartiment S3 en utilisant le rôle IAM de l'instance EC2. Mais le problème est que, si j'ai un compte avec plusieurs utilisateurs, je ne peux pas restreindre l'utilisation d'un rôle IAM à un groupe particulier ou à des individus dans ce compte. Cette incapacité m'empêche de bloquer quiconque dans ce compte pour faire tourner une instance en utilisant ce rôle IAM. Donc, mon dilemme est que, si j'ai donné un accès S3 basé sur le rôle EC2 et que je ne peux pas verrouiller les utilisateurs d'un compte qui peut utiliser ce rôle, cela ouvre mon compartiment S3 à tout le monde dans le compte.

S'il vous plaît laissez-moi savoir s'il y a un moyen que je peux, que ce soit (1) Limiter les instances EC2 se filées à l'aide d'un rôle particulier, OU, (2) Restreindre l'accès S3 basé sur le rôle et l'utilisateur EC2 connecté à la exemple.

Answer 1

Le lancement d'une instance Amazon EC2 avec un assigné requiert l'autorisation PassRole, qui peut en outre spécifier quels rôles peuvent être transmis à l'instance.

Par défaut, vous ne devez attribuer à personne la permission PassRole. Vous pouvez ensuite l'attribuer aux utilisateurs/groupes appropriés, en spécifiant exactement les rôles qu'ils peuvent utiliser. Cela évite qu'un utilisateur disposant d'autorisations limitées puisse obtenir des autorisations supplémentaires en lançant une instance avec un rôle, puis en utilisant les informations d'identification temporaires octroyées à l'instance pour effectuer des activités au-delà des autorisations qui leur sont attribuées.

Ceci est similaire à l'autorisation AssumeRole, qui contrôle qui est autorisé à assumer quels rôles. Pour plus d'informations, voir: Granting Permission to Launch EC2 Instances with IAM Roles (PassRole Permission)