我正在尝试了解授予对 create-image EC2 操作的访问权限的安全隐患。文档假设创建映像操作不支持 IAM 资源,因此授予此操作的访问权限似乎将允许任何有权限的人对我们的任何 EC2 实例进行映像访问。对吗?
此外,如果用户可以创建映像然后运行实例,我相信他们可以使用他们的密钥对启动新实例并访问节点内原本禁止访问的敏感信息。对吗?
这博客文章建议我们可以使用资源级权限来限制用户可以运行哪些 AMI,但我的理解是 IAM 可以允许我们控制谁可以创建标签,但不限制他们可以创建/修改哪些标签,或者哪些 EC2 节点或 AMI 可以标记。
这一切都引出了我的核心 XY 问题。
有没有办法授予某些开发人员对某些 EC2 节点进行映像处理的能力,而不会暴露其他 EC2 节点上可能存在的安全凭证?