Рейтинг:0

Запретить пользователю EC2 просматривать секреты и учетные данные AWS

флаг cn

Предисловие:

Я использую экземпляр Windows EC2 с прикрепленной ролью, которая разрешает ему доступ к определенным секретам AWS Secrets Manager. Мы никогда не используем ключи доступа напрямую. Приложение, работающее на экземпляре, должно иметь возможность извлекать эти секреты.

Конечный пользователь этого экземпляра в настоящее время должен подключиться к этому экземпляру по протоколу RDP для выполнения своей задачи. Конечный пользователь никогда не знает напрямую, что он может получить доступ к секретам менеджера секретов, но это возможно.

Конечный пользователь получает доступ к приложению CLI и веб-сайту, который работает локально на компьютере EC2.

Проблема:

Поскольку у экземпляра есть роль, которая позволяет ему видеть секреты, конечный пользователь может использовать AWS cli или curl и т. Д. Во время сеанса RDP для извлечения секретов, к которым они не должны были иметь прямой доступ.

Вопрос:

Как предотвратить доступ конечного пользователя к секретам, предоставляя при этом экземпляру свободу, необходимую для выполнения его функций? Можно ли что-то сделать с правами пользователя на экземпляр? Любые альтернативные решения?

Tim avatar
флаг gp
Tim
Я не уверен, что вы можете запретить пользователю доступ ко всему, что разрешает роль экземпляра. Возможно, вам придется посмотреть, есть ли какой-либо контроль на уровне пользователя Windows, чтобы предотвратить это. В противном случае вам, возможно, придется запретить им подключение RDP к машине.
флаг cn
Я не уверен, что это возможно, кроме использования элементов управления Windows для предотвращения запуска пользователем AWS CLI или любых SDK.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.