我试图了解授予访问创build图像EC2操作的安全性影响。 该文档说,创build图像操作不支持IAM资源,所以似乎授予访问此操作将允许任何人有权访问我们的任何EC2实例的图像。 那是对的吗?
此外,如果用户可以创build映像,然后运行实例,我相信他们可以用他们的密钥对启动新的实例,并访问节点内的其他禁止敏感的信息。 那是对的吗?
这篇博客文章build议我们可以使用资源级权限来限制用户可以运行的AMI,但是我的理解是IAM可以让我们控制谁可以创build标签,但不限制他们可以创build/修改哪些标签, EC2节点或AMI是可标记的。
这是所有导致是我的核心XY问题。
有没有办法让一些开发人员能够对一些EC2节点进行映像,而不暴露其他EC2节点上可能存在的安全凭证?