限制基於EC2實例到S3接入和用戶

Question

我在以前的帖子，我可以使用EC2實例的IAM角色限制訪問S3桶都看到了。但這裏的問題在於，如果我有一個賬戶中有幾個用戶，我不能將IAM角色的使用限制在該賬戶中的特定組或個人。無法阻止我阻止該帳戶中的任何人使用該IAM角色旋轉實例。

所以我的困境是，如果我已經基於EC2 Role授予了S3訪問權限，並且無法鎖定可以使用該角色的帳戶中的用戶，則會向帳戶中的所有人開放我的S3存儲桶。

請讓我知道，如果有辦法，我可以，無論是 （1）限制EC2實例越來越紡了使用特定的角色，或者， （2）限制基於EC2角色和用戶S3訪問登錄到實例。

Answer 1

啓動Amazon EC2實例與分配需要PassRole權限，這可以進一步指定哪個角色可以被傳遞到實例。

默認情況下，你不應該給任何人的許可PassRole。然後，您可以將其分配給適當的用戶/組，並指定他們可以使用哪些角色。

這避免了有限的權限內的用戶可以通過啓動一個實例與角色，然後使用許可給實例做超出其權限，活動臨時憑證獲得額外權限的機會。

這類似於AssumeRole權限，控制誰可以承擔的角色。

欲瞭解更多信息，請參閱：Granting Permission to Launch EC2 Instances with IAM Roles (PassRole Permission)