Împiedicați utilizatorul EC2 să vadă secretele și acreditările AWS

Loc12342

19.05.2023, 17:10

Prefaţă:

Folosesc o instanță Windows EC2 cu un rol atașat care îi permite accesul la anumite secrete AWS Secrets Manager. Nu folosim niciodată cheile de acces direct. Aplicația care rulează pe instanță trebuie să poată extrage aceste secrete.

În prezent, utilizatorului final al acestei instanțe i se cere să facă RDP în acea instanță pentru a-și îndeplini sarcina. Utilizatorul final nu este niciodată direct conștient că poate accesa secretele managerului de secrete, dar este posibil.

Utilizatorul final accesează o aplicație CLI și un site web care rulează local pe computerul EC2.

Problemă:

Întrucât instanța are un rol care îi permite să vadă secrete, utilizatorul final poate folosi cli sau curl AWS, etc în timpul unei sesiuni RDP pentru a prelua secrete pe care nu ar fi trebuit să le poată accesa direct.

Întrebare:

Cum împiedic utilizatorul final să poată accesa secrete, permițând în același timp instanței libertatea de care are nevoie pentru a-și îndeplini funcția? Există ceva care se poate face în ceea ce privește permisiunile utilizatorului pe instanță? Ceva solutii alternative?

0 + 0

partajarea ecranului

amazon-ec2

servicii-web-amazon

Tim

19.05.2023, 19:27

Nu sunt sigur că puteți împiedica utilizatorul să acceseze orice permite rolul instanței. S-ar putea să trebuiască să vedeți dacă există un fel de control la nivel de utilizator Windows pentru a preveni acest lucru. În caz contrar, este posibil să trebuiască să le împiedicați să fie introduse RDP pe mașină.

Răspunde

shearn89

24.05.2023, 16:27

În afară de utilizarea comenzilor Windows pentru a împiedica utilizatorul să ruleze AWS CLI sau orice SDK-uri, nu sunt sigur că acest lucru este posibil.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: Prevent EC2 User from Seeing AWS Secrets and Credentials

TH: ป้องกันไม่ให้ผู้ใช้ EC2 เห็นความลับและข้อมูลประจำตัวของ AWS

RO: Împiedicați utilizatorul EC2 să vadă secretele și acreditările AWS

RU: Запретить пользователю EC2 просматривать секреты и учетные данные AWS

VI: Ngăn người dùng EC2 nhìn thấy thông tin xác thực và bí mật AWS

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.