EC2インスタンスとユーザーに基づくS3へのアクセスの制限

Question

EC2インスタンスのIAMロールを使用してS3バケットへのアクセスを制限することができます。しかし、ここでキャッチするのは、複数のユーザーがいるアカウントがある場合、そのアカウント内の特定のグループまたは個人にIAMロールの使用を制限することはできません。この無能さは、そのアカウント内の誰かをブロックして、そのIAMロールを使用してインスタンスをスピンさせないようにします。

私のジレンマは、EC2ロールに基づいてS3アクセスを与え、そのロールを使用できるアカウント内のユーザーをロックダウンできない場合、アカウントのすべてのユーザーにS3バケットを開きます。 （2）EC2の役割とユーザーに基づいてS3へのアクセスを制限

私ができる方法がある場合は私に知らせてください、どちらか （1）EC2インスタンスは特定の役割を使用してスピンアップ取得制限したり、 にログインインスタンス。

Answer 1

アサインされたAmazon EC2インスタンスを起動するには、PassRole権限が必要です。これにより、どのロールをインスタンスに渡すことができるかをさらに指定できます。

デフォルトでは、誰にもPassRole権限を与えるべきではありません。その後、適切なユーザー/グループに割り当てることができ、使用できる役割を正確に指定できます。

これにより、ロールを持つインスタンスを起動し、インスタンスに割り当てられた一時的な資格情報を使用して、割り当てられた権限を超えてアクティビティを実行することにより、制限付きのアクセス権を持つユーザーが余分なアクセス権を得ることがなくなります。

これは、誰がどの役割を引き受けることができるかを制御する、AssumeRole権限に似ています。

詳細については、をご覧ください。Granting Permission to Launch EC2 Instances with IAM Roles (PassRole Permission)