Existem muitos usuários no meu Amazon IAM. Todos eles adicionados ao grupo de administradores. Posso negar o uso do Amazon CLI para todos e permitir que apenas um não mude o grupo membro?
Obrigado.
Respostas:
0 para resposta № 1Parece que sua situação é:
- Seus usuários estão autorizados a ter acesso a uma instância do Amazon EC2 por meio de seus pares de chaves do EC2
- A instância do EC2 foi iniciada com uma Função que recebeu determinadas permissões
- Qualquer usuário que efetuar login na instância do EC2 pode, portanto, executar Interface de linha de comando da AWS (CLI) comandos que aproveitam as permissões atribuídas à função
- Você não quer que todos os usuários tenham essas permissões
Se você não quiser que todos os usuários tenham essas permissões, você não deve atribuir uma função à instância do EC2. Em vez disso, forneça credenciais do IAM separadamente para cada aplicativo no servidor (embora isso possa ser um grande esforço por si só).
Outra opção é permitir que os usuários usem os aplicativos (por exemplo, por meio de uma porta exposta, como um servidor da Web), mas não permitem que eles efetuem login na instância.