我試圖了解授予對 create-image EC2 操作的存取權限的安全影響。這文件假設 create-image 操作不支援 IAM 資源,因此授予此操作的存取權限似乎將允許任何有權存取我們的任何 EC2 執行個體鏡像的人。那是對的嗎?
此外,如果用戶可以建立映像然後運行實例,我相信他們可以使用金鑰對啟動新實例,並獲得對節點內其他禁止存取的敏感資訊的存取權。那是對的嗎?
這部落格文章建議我們可以使用資源級權限來限制使用者可以執行哪些 AMI,但我的理解是 IAM 可以讓我們控制誰可以建立標籤,但不限制他們可以建立/修改哪些標籤,或哪些 EC2 節點或AMI 是可標記的。
這就是我的核心 XY 問題。
有沒有一種方法可以讓一些開發人員能夠對某些 EC2 節點進行映像,而無需暴露其他 EC2 節點上可能存在的安全憑證?