他のユーザー/ロールがIAMロールでEC2インスタンスを作成することを拒否する方法

Question

私は秘密のデータを持つS3バケットを持っています。

バケットポリシーを追加して、アカウント内の限定されたロールセットのみを許可しました。これにより、他のユーザーがコンソールからs3バケットにアクセスできなくなります。

許可された役割の1つは、EC2インスタンスがS3バケットを読み取るために「foo-role」が作成されたということです。

拒否されたロールであっても、VMを作成し、このVMに「foo-role」を割り当て、このVMにsshを割り当て、バケットの内容を確認できます。

他のユーザーがEC2インスタンスに「foo-role」を割り当てるのを防ぐ方法がありますか。

Answer 1

このポリシーをIAMユーザーに追加してください。このポリシーは、ユーザーがロールをEC2インスタンスに関連付けるか、置き換えるのを防止します。

{ 
    "Version": "2012-10-17", 
    "Statement": [ 
    { 
     "Effect": "DENY", 
     "Action": [ 
     "ec2:AssociateIamInstanceProfile", 
     "ec2:ReplaceIamInstanceProfileAssociation", 
     "iam:PassRole" 
     ], 
     "Resource": "*" 
    } 
    ] 
}