AWS检查IAM权限?
是否可以在AWS中设置一个堡垒主机来检查IAM,以检查给定的用户是否可以连接到特定的EC2实例?
这可能有点模糊,但这个想法正在跟进。
让我们假设一家公司有两个客户,每个客户都在一个EC2实例上操作。因此,我们为客户提供了MachineA和MachineB。那么,我们还有3名员工:
- 约翰-一个需要能够在任何地方连接的系统管理员
- 为客户开发一种产品。显然,他应该只能够连接到MachineA
- 为客户B开发一个产品。显然,她应该只能够连接到MachineB。
这两台机器都在私有子网中运行,并且只能通过公共子网中的堡垒主机连接到它们。现在,是否可以配置这个堡垒,以便在IAM中验证用户组,以确保该用户能够连接到给定的计算机?
所以,当玛丽通过SSH连接到堡垒时,她使用了自己的身份。在那里,她试图跳转到MachineB,所以Bastion检查用户的证书,验证她在devsB组,允许她连接,但是如果她试图连接到MachineA,不管出于什么原因,它都会拒绝连接。
回答 3
Server Fault用户
发布于 2019-06-07 17:53:41
您可以使用IAM利用AWS系统经理管理对ec2实例的访问控制。
Server Fault用户
发布于 2019-06-07 11:46:19
我不会依赖IAM组成员,因为在SSH上下文中测试可能有点困难。
相反,我将允许所有用户SSH访问单个用户帐户下的bastion主机,并且只允许适当的用户访问每个客户的实例。
最简单的方法是将Steve的公共SSH密钥添加到MachineA:/home/ec2-user/.ssh/authorized_keys中。类似地,Mary对MachineB的公钥。
然后可以使用SSH ProxyJump和SSH代理来方便访问。
希望有帮助:)
Server Fault用户
发布于 2020-02-28 08:32:08
您可以使用aws门,它结合了来自EC2实例连接的SSH密钥上传功能、SSM隧道中的SSH、通过IAM策略完全管理访问并使用AWS CloudTrail进行审计。
https://serverfault.com/questions/970534
复制相似问题
腾讯云开发者
