Usando AWS re:Post, accetti AWS re:Post Termini di utilizzo
AWS re:Postre:Post

如何限制AWS托管IAM策略的范围?

0

【以下的问题经过翻译处理】 我拥有一个EC2实例,其代码是使用CodePipeline部署的。为了让CodeDeploy可以操作该实例,我已经向实例的IAM角色附加了AWS管理的"AmazonEC2RoleforAWSCodeDeploy"策略。

使用AWS管理的策略的优点在于,对CodeDeploy服务进行更新/更改不需要我更新实例角色。

然而,我意识到,如果实例被攻击者入侵并获取了Shell,策略中的无限范围"Resource": "*"将使攻击者能够针对我的任何S3存储桶执行策略中列出的任何操作。 我如何继续使用AWS管理的策略,并限制它只能访问特定的资源?

Argomenti
Strumenti per sviluppatoriSicurezza, identità e conformitàComputazionali
Tag
AWS CodeDeployGestione identità e accesso AWSAmazon EC2
Lingua
中文 (简体)
profile picture
ESPERTO
rePost Polyglot
posta 5 mesi fa28 visualizzazioni
1 Risposta
0

【以下的回答经过翻译处理】 你也可以自定义策略,在如“拒绝所有”之类的策略中列出您需要访问的资源。这样,您就可以继续使用AWS托管的策略(允许访问服务和操作),然后附加自己的策略来定义其范围。实际上,这样很容易出错,请先仔细测试。在最坏的情况下,您还需要定义自己的策略将适用于哪些服务和操作,最终将重写AWS托管的策略:https://repost.aws/questions/QUhdNOg85CQXqqgYdgoMc24g,此外您也可以在resource中,指定该角色可以访问的S3桶,以限制仅访问指定资源。

profile picture
ESPERTO
rePost Polyglot
con risposta 5 mesi fa

Accesso non effettuato. Accedi per postare una risposta.

Una buona risposta soddisfa chiaramente la domanda, fornisce un feedback costruttivo e incoraggia la crescita professionale del richiedente.

Linee guida per rispondere alle domande

Contenuto pertinente