Я пытаюсь понять последствия предоставления доступа к действию EC2 по созданию образа с точки зрения безопасности.документыговорят, что действие create-image не поддерживает ресурсы IAM, поэтому, похоже, предоставление доступа к этому действию позволит любому, у кого есть доступ, создавать образы любых наших экземпляров EC2. Это верно?
Кроме того, если пользователь может создать образ, а затем запустить экземпляр, я полагаю, что он может запустить новый экземпляр с помощью своей пары ключей и получить доступ к конфиденциальной информации, которая в противном случае была бы недоступна для доступа внутри узла. Это верно?
ЭтотСообщение блогапредполагает, что мы можем использовать разрешения на уровне ресурсов, чтобы ограничить, какие AMI может запускать пользователь, но, насколько я понимаю, IAM может позволить нам контролировать, кто может создавать теги, но не ограничивать, какие теги они могут создавать/изменять, или какие узлы EC2 или AMI могут тегироваться.
Все это подводит меня к моему основному вопросу XY.
Есть ли способ предоставить некоторым разработчикам возможность создавать образы некоторых узлов EC2, не раскрывая защищенные учетные данные, которые могут существовать на других узлах EC2?