发布于: Mar 6, 2023
现在,您可以使用凭证控制属性更轻松地限制 EC2 的 IAM 角色的使用。
借助 EC2 的 IAM 角色,您的应用程序可以安全地发出 API 请求,而无需您直接管理安全凭证。临时和轮换 IAM 凭证会自动预置到您的实例的元数据服务,其中包含您为该角色定义的权限。然后,您的应用程序通常通过 AWS SDK 或 CLI 检索并使用这些临时凭证。
以前,如果您想要限制可以使用这些凭证的网络位置,则需要在角色策略或 VPC 端点策略中对角色的 VPC ID 和/或 IP 地址进行硬编码。这就产生了一定的管理开销,可能还需要针对不同的角色、VPC 等制定许多不同的策略。
现在,每个角色凭证都有两个新属性,它们属于 AWS 全局条件密钥,用于增加有关最初颁发这些凭证的实例的信息。这些属性(即 VPC ID 和实例的主要私有 IP 地址)可用于 IAM 策略、服务控制策略 (SCP)、VPC 端点策略或资源策略,从而比较凭证的来源网络位置与凭证的使用位置。现在,广泛适用的策略可以将您的角色凭证的使用限制在角色凭证的来源位置。有关这些策略的示例,请参阅此博客文章。在创建 IAM 角色时,与任何 IAM 主体一样,使用最低权限的 IAM 策略,此策略可将访问权限限制为只能访问您的应用程序所需的特定 API 调用。
这些属性现已在所有 AWS 区域(包括 AWS GovCloud(美国)区域)推出。使用此功能不会产生任何额外费用。有关 IAM for EC2 的更多信息,请参阅用户指南。有关 Amazon EC2 的操作、资源和条件密钥的更多信息,请参阅服务授权参考指南。