发布于: Mar 6, 2023
现在,您可以使用新的凭证控制属性更轻松地限制适用于 EC2 的 IAM 角色的使用。
适用于 EC2 的 IAM 角色允许您的应用程序安全地从您的实例发出 API 请求,无需您直接管理应用程序使用的安全凭证。应用程序被授予您为该角色定义的操作和资源的权限,临时和轮换 IAM 凭证会自动预置到您的实例的元数据服务。然后,您的应用程序(通常通过 Amazon SDK 或 CLI)会自动检索和使用这些临时凭证。
以前,如果您想限制可以使用预置角色凭证的网络位置,则需要在角色策略或 VPC 端点策略中对角色的 VPC ID 和/或 IP 地址进行硬编码。这需要大量的管理开销,可能还需要针对不同的角色、VPC 等制定许多不同的策略。
从今天起,每个角色凭证都有两个新属性,这些属性是该特定实例的凭证副本所独有的。这些新属性是全局条件键,添加了有关最初颁发 EC2 角色凭证的实例的信息。这些属性,特别是实例的 VPC ID 和主私有 IP 地址,可用于 Identity and Access Management(IAM)策略、VPC 端点策略或资源策略中的条件语句。这些条件将凭证来源的网络位置与实际使用凭证的网络位置进行比较。现在,广泛适用的策略可以将您的角色凭证的使用限制在角色凭证的来源位置。在创建 IAM 角色时,与任何 IAM 主体一样,使用最低权限的 IAM 策略,将访问权限限制在应用程序所需的特定 API 调用上。
这些属性现已在由光环新网运营的亚马逊云科技中国(北京)区域和由西云数据运营的亚马逊云科技中国(宁夏)区域推出。
使用这一功能不会产生额外的费用。有关适用于 EC2 的 Identity and Access Management 的更多信息,请参阅 Amazon EC2 用户指南。有关 Amazon EC2 的操作、资源和条件键的更多信息,请参阅服务授权参考指南。