ame*_*ior 2 linux amazon-ec2 amazon-web-services aws-security-group
我使用Amazon EC2托管一些网站和数据库。
我明天有新的开发人员加入。如果我创建一个IAM用户,并向他附加“ AmazonEC2FullAccess-arn:aws:iam :: aws:policy / AmazonEC2FullAccess-通过AWS管理控制台提供对Amazon EC2的完全访问权限。”策略,
他将能够访问过去创建的linux ec2实例中存储的机密信息。基本上,此策略是否以某种方式允许访问预先创建的linux实例。
编辑:如果他/她尝试磁盘恢复程序怎么办?例如,在新的ec2实例中挂载vm的磁盘
当您向用户授予AmazonEC2FullAccess访问权限时,他将能够查看AWS账户中的所有EC2实例。即使您不向他提供预创建的EC2实例的密钥,他也将能够使用预创建的EC2实例的AMI并使用新密钥启动它并获得对该实例的访问权限。
他还可以按照您的用例所述执行磁盘恢复过程。因此,您有以下一些选项。
不提供AmazonEC2FullAccess,请问他需要什么服务器规范,并根据该规范启动EC2,并向ssh监禁用户访问该EC2实例。
设置云跟踪,以便您可以监视该用户创建的资源是否有任何可疑活动https://aws.amazon.com/cloudtrail/
第三种选择是,正如您提到的,他是开发人员,只是向他提供对EC2实例上运行的应用程序的部署和git访问。
| 归档时间: |
|
| 查看次数: |
1375 次 |
| 最近记录: |