1
私は秘密のデータを持つS3バケットを持っています。他のユーザー/ロールがIAMロールでEC2インスタンスを作成することを拒否する方法
バケットポリシーを追加して、アカウント内の限定されたロールセットのみを許可しました。これにより、他のユーザーがコンソールからs3バケットにアクセスできなくなります。
許可された役割の1つは、EC2インスタンスがS3バケットを読み取るために「foo-role」が作成されたということです。
拒否されたロールであっても、VMを作成し、このVMに「foo-role」を割り当て、このVMにsshを割り当て、バケットの内容を確認できます。
他のユーザーがEC2インスタンスに「foo-role」を割り当てるのを防ぐ方法がありますか。
ありがとうございます。これらのユーザーは完全なEC2アクセス権を持っていました。 "foo-role"を明示的に拒否すると、そのロールを使用できなくなります。 – user6317694