Ich versuche, die Sicherheitsauswirkungen zu verstehen, die sich aus der Gewährung des Zugriffs auf die EC2-Aktion „Create-Image“ ergeben.Dokumentesagen Sie, dass die Aktion „Image erstellen“ keine IAM-Ressourcen unterstützt, sodass es so aussieht, als ob die Gewährung des Zugriffs auf diese Aktion es jedem mit Zugriff ermöglicht, ein Image unserer EC2-Instanzen zu erstellen. Ist das richtig?
Wenn ein Benutzer darüber hinaus ein Image erstellen und dann eine Instanz ausführen kann, kann er meines Erachtens die neue Instanz mit seinem Schlüsselpaar starten und auf sonst unzugängliche vertrauliche Informationen innerhalb des Knotens zugreifen. Ist das richtig?
DasBlogeintragschlägt vor, dass wir Berechtigungen auf Ressourcenebene verwenden können, um einzuschränken, welche AMIs ein Benutzer ausführen kann. Nach meinem Verständnis kann IAM uns jedoch die Kontrolle darüber ermöglichen, wer Tags erstellen kann, ohne einzuschränken, welche Tags erstellt/geändert werden können oder welche EC2-Knoten oder AMIs mit Tags versehen werden können.
Dies alles führt uns zu meiner zentralen Frage XY.
Gibt es eine Möglichkeit, einigen Entwicklern die Möglichkeit zu geben, einige EC2-Knoten abzubilden, ohne sichere Anmeldeinformationen preiszugeben, die möglicherweise auf anderen EC2-Knoten vorhanden sind?