1. Zuhause
  2. Frage und Antwort
  3. AmazonEC2FullAccess und Sicherheit

AmazonEC2FullAccess und Sicherheit

2016-08-01 21 views
2

Ich benutze Amazon EC2, um einige Websites und Datenbanken zu hosten.AmazonEC2FullAccess und Sicherheit

Ich habe morgen einen neuen Entwickler bei mir. Wenn ich eine IAM-Benutzer erstellen, und fügen Sie die „AmazonEC2FullAccess - arn: aws: iam :: aws: Politik/AmazonEC2FullAccess- bietet vollen Zugriff auf Amazon EC2 über die AWS Management Console) Politik zu ihm

er will. in der Lage sein, auf Secrets zuzugreifen, die in den in der Vergangenheit erstellten linux ec2-Instanzen gespeichert sind Grundsätzlich erlaubt diese Policy irgendwie den Zugriff auf vorerstellte Linux-Instanzen

EDIT: was ist, wenn er/sie versucht, ein Disk-Recovery-Verfahren? , mounten Sie die Festplatte eines vm in einer neuen ec2 Instanz

Quelle

2016-08-01 american-ninja-warrior

+1

Was meinen Sie mit den in Linux EC2 gespeicherten Geheimnissen? Welche Geheimnisse? – error2007s

+0

Er wird nur Zugriff auf EC2-Instanzen haben, wenn Sie ihm die .pem-Datei für den Zugriff auf die Instanz geben. – Maykonn

Antwort

0

Die IAM Rolle gibt nur jemanden Zugriff auf die AWS EC2 API, wo Sie Dinge wie das Erstellen neuer Instanzen tun können, Shutdown existieren Instanzen, usw. Dies gibt niemandem Zugriff auf die Anmeldung an EC2 Servern. Dazu müssten Sie jemandem den SSH-Schlüssel (für Linux) oder das Passwort (für Windows) geben, der beim Erstellen des Servers eingerichtet wurde.

Quelle

2016-08-01 13:52:33

+1

Was ist, wenn er/sie versucht, eine Wiederherstellung durchzuführen? Zum Beispiel, mounten Sie die Festplatte eines VM in einer neuen ec2-Instanz –

+0

Gute Frage. +1 – Maykonn

+0

@joshsverns das ist ein guter Punkt, sie könnten Zugriff auf eine Kopie aller Daten auf den EC2-Servern auf diese Weise bekommen. –

4

Wenn Sie AmazonEC2FullAccess Zugriff auf den Benutzer erteilen, kann er alle EC2-Instanzen im AWS-Konto sehen. Selbst wenn Sie ihm nicht den Schlüssel zu den vorerstellten EC2-Instanzen zur Verfügung stellen, wird er in der Lage sein, AMI der vordefinierten EC2-Instanz zu übernehmen und mit einem neuen Schlüssel zu starten und Zugang zu dieser Instanz zu erhalten.

Er kann auch Disk Recovery-Verfahren wie in Ihrem Anwendungsfall erwähnt. Sie haben also einige der folgenden Optionen.

  1. Bieten AmazonEC2FullAccess ihn nicht fragen, welche Spezifikation er für den Server benötigt und die EC2 gemäß der Spezifikation starten und ihn auf diese EC2-Instanz ssh eingesperrt Benutzerzugriff.

  2. Wolke Spur einrichten, damit Sie die von diesem Benutzer für jede verdächtige Aktivität erstellt Ressourcen überwachen https://aws.amazon.com/cloudtrail/

  3. dritte Option ist, wie Sie erwähnt er ist Entwickler bieten ihm nur die Bereitstellung und git Zugriff auf die Anwendung läuft auf der EC2-Instanz.

Quelle

2016-08-01 14:53:59 error2007s

 Verwandte Themen

  • Keine verwandten Themen^_^