我使用 Amazon EC2 托管一些网站和数据库。
明天我有一个新的开发人员加入我。如果我创建一个 IAM 用户,并向他附加“AmazonEC2FullAccess - arn:aws:iam::aws:policy/AmazonEC2FullAccess- 通过 AWS 管理控制台提供对 Amazon EC2 的完全访问权限。)策略,
他将能够访问存储在过去创建的 linux ec2 实例中的秘密吗?基本上,这个策略是否允许访问预先创建的 linux 实例。
编辑:如果他/她尝试磁盘恢复过程怎么办?例如,将 vm 的磁盘挂载到新的 ec2 实例中
当您向用户授予 AmazonEC2FullAccess 访问权限时,他将能够查看 AWS 账户中的所有 EC2 实例。即使您不向他提供预创建 EC2 实例的密钥,他也可以获取预创建 EC2 实例的 AMI 并使用新密钥启动它并访问该实例。
他还可以按照您在用例中提到的那样执行磁盘恢复过程。因此,您有以下一些选项。
不要提供 AmazonEC2FullAccess 询问他服务器需要什么规范,并根据规范启动 EC2,并为他提供对该 EC2 实例的 ssh 监禁用户访问权限。
设置云跟踪,以便您可以监控该用户创建的资源是否存在任何可疑活动https://aws.amazon.com/cloudtrail/
第三个选项正如您提到的,他是开发人员,只需为他提供部署和 git 访问在 EC2 实例上运行的应用程序。
IAM 角色仅授予某人访问 AWS EC2 API 的权限,您可以在其中执行创建新实例、关闭现有实例等操作。这不会授予某人登录任何 EC2 服务器的权限。为此,您需要向某人提供在创建服务器时设置的 SSH 密钥(适用于 Linux)或密码(适用于 Windows)。