![](/img/trans.png)
[英]Restrict IAM Role to be attached to an EC2 instance if Instance Id does not match the one in IAM Policy
[英]AccessDenied for EC2 Instance with attached IAM Role
我具有以下IAM角色:
在我的自定義政策中,我有:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "iam:ListRoles",
"Resource": "*",
"Condition": {
"IpAddress": {
"aws:SourceIp": "10.0.0.0/16"
}
}
}
]
}
然后,我創建一個新的EC2實例並將此角色附加到它。
在EC2實例內部,我嘗試執行以下操作:
aws iam list-roles
但是我得到這個錯誤:
調用ListRoles操作時發生錯誤(AccessDenied):用戶:arn:aws:sts :: XXXXXXX:assumed-role / My-Role / i-XXXXXX未經授權執行:資源上的iam:ListRoles:arn:aws: iam :: XXXXXXX:角色/
請問您為什么不起作用? 謝謝。
PS:EC2實例的IP為10.0.0.XX
IAM API駐留在Internet上。 因此,當它收到您的請求時,它將來自實例的IP地址。 IAM從未看到實例的私有IP地址。
從理論上講,IP地址限制不是必需的,因為該角色只能在已分配角色的實例上使用。 您應該對誰可以使用該角色( iam:PassRole
)進行安全保護,而不是從可以使用該角色的位置進行保護。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.