Existuje mnoho užívateľov v mojom Amazon IAM. Všetky boli pridané do administrátorskej skupiny. Môžem poprieť používané Amazon CLI pre všetkých a dovoliť, aby len jedna členka skupiny nezmenila?
Ďakujem.
odpovede:
0 pre odpoveď č. 1Zdá sa, že vaša situácia je:
- Vaši používatelia majú oprávnenie na prístup k inštancii Amazon EC2 cez ich kľúčové páry EC2
- Inštancia EC2 bola spustená s funkciou Role, ktorá dostala určité povolenia
- Každý používateľ, ktorý sa prihlási do inštancie EC2, sa teda môže spustiť Rozhranie príkazového riadku AWS (CLI) príkazy, ktoré využívajú povolenia priradené k role
- Nechcete, aby mali všetci používatelia takéto povolenia
Ak nechcete, aby mali všetci používatelia takéto povolenia, potom nemali by ste priradiť rolu k inštancii EC2, Namiesto toho poskytnite IAM poverenia samostatne každej aplikácii na serveri (aj keď to môže byť veľa úsilia samo o sebe).
Ďalšou možnosťou je umožniť používateľom používať aplikácie (napríklad prostredníctvom exponovaného portu, napríklad webového servera), ale neumožňujú im prihlásenie sa do inštancie.