【发布时间】:2019-06-05 01:44:03
【问题描述】:
我们在 AWS 上有一些“机器人”——我们不需要对这些机器人进行 MFA——但我们肯定不希望它们在 AWS 上拥有高级访问权限。我相信有一些权限可以让用户访问网站/控制台。我的问题是 - 如果你是我,你会检查哪些权限以确保我们不需要 MFA 的机器人不会获得高于其工资等级的访问权限?
例如,我们的一个机器人用户有这样的政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:HeadBucket"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::interos-oregon",
"arn:aws:s3:::*/*"
]
}
]
}
【问题讨论】:
-
控制台不会自动让您访问所有内容。用户帐户可以根据他们或他们的组的策略访问资源。如果具有上述策略的“bot”具有密码,则该“bot”可以完全按照该策略通过控制台给出的那样影响 s3。那么,当您说“AWS 上的高级访问权限”时,您是指 root 用户吗?如果是这样,则该用户具有
AdministratorAccess策略,您可能不希望您的“机器人”拥有:docs.aws.amazon.com/IAM/latest/UserGuide/… -
您提供的策略使机器人能够在您的 AWS 账户中在 Amazon S3 中做任何它想做的事情。这可能“高于其工资等级”。
标签: amazon-web-services amazon-iam multi-factor-authentication