이미지 생성 EC2 작업에 대한 액세스 권한 부여가 보안에 미치는 영향을 이해하려고 합니다. 그만큼문서create-image 작업은 IAM 리소스를 지원하지 않으므로 이 작업에 대한 액세스 권한을 부여하면 누구나 EC2 인스턴스 이미지에 액세스할 수 있게 되는 것 같습니다. 그 맞습니까?
또한 사용자가 이미지를 생성한 다음 인스턴스를 실행할 수 있는 경우 키 쌍을 사용하여 새 인스턴스를 시작하고 노드 내에서 제한되지 않은 민감한 정보에 액세스할 수 있다고 생각합니다. 그 맞습니까?
이것블로그 게시물리소스 수준 권한을 사용하여 사용자가 실행할 수 있는 AMI를 제한할 수 있다고 제안하지만, IAM을 사용하면 태그를 생성할 수 있는 사람을 제어할 수 있지만 생성/수정할 수 있는 태그나 EC2 노드 또는 AMI는 태그가 가능합니다.
이것은 모두 내 핵심 XY 질문으로 이어집니다.
다른 EC2 노드에 존재할 수 있는 보안 자격 증명을 노출하지 않고 일부 EC2 노드를 이미지화할 수 있는 기능을 일부 개발자에게 부여할 수 있는 방법이 있습니까?