当通过“aws ec2 Associate-iam-instance-profile”将 EC2 实例与 IAM 角色关联时,实例上的所有 Linux 用户似乎都可以通过这些凭证进行 API 调用。有没有办法利用 IAM 实例配置文件,但限制对操作系统内特定用户的访问?
不,这是不可能的。
EC2 实例元数据可供任何可以访问 URL 的人使用,这通常意味着计算机上的任何用户和任何应用程序。
听起来您需要使用凭据文件来存储每个应用程序的凭据。
直接方式是不可能的,但有一种方法可以使用 aws 配置文件并要求用户使用该 aws 配置文件,或者您可以绑定该用户使用 aws 配置文件。
请点击链接,在创建角色时使用相同的 AWS 账户。 https://repost.aws/knowledge-center/s3-instance-access-bucket