Роли iam и доступ ec2 к идентификации пользователя

Я просматривал видео о доступе к aws с помощью ssh.

Он просто добавил роль IAM при создании экземпляра EC2. Когда я подключился к экземпляру EC2 по ssh из cli, я легко смог запустить "aws s3 ls". Мой вопрос: как он узнает, принадлежу ли я этой роли IAM или нет?

При запуске ssh-соединения я дал только общедоступный IP-адрес EC2 и пару ключей, относящуюся к этому экземпляру EC2.

So where exactly I allowed my identity to be shared with aws?

Когда я не добавил роль при создании экземпляра ec2, я должен явно указать свои ключи для доступа к службам aws.

So what IAM role do on the fly that it donot ask for credentials?

1
0
293
2
Перейти к ответу Данный вопрос помечен как решенный

Ответы 2

Роль IAM назначается всему экземпляру EC2. Любой код, работающий в этом экземпляре EC2, получает роль IAM. Роль IAM совершенно не связана с учетной записью SSH, которую вы используете для входа в экземпляр EC2.

Я согласен с тем, что вы говорите. но когда я использую ssh, я не предоставляю свои учетные данные для проверки. Я могу быть любым, кто, к счастью, получил доступ к паре ключей и общедоступному IP-адресу этого конкретного ec2.

Ladoo 10.08.2018 16:42

как заботятся о вышеупомянутом?

Ladoo 10.08.2018 16:43

Пара ключей - это учетные данные ... Вы должны хранить свой секретный файл ключей SSH в безопасности, как пароль.

Mark B 10.08.2018 17:05
Ответ принят как подходящий

Во-первых, не связывайте PEM (пару ключей) и IAM. Оба не связаны друг с другом.

What is IAM?

AWS Identity and Access Management (IAM) enables you to manage access to AWS services and resources securely.

Из самого объяснения ясно, что это обеспечивает доступ к ресурсам AWS. Итак, рассмотрим один простой пример: вы хотите получить доступ к S3 Bucket из созданного вами экземпляра AWS EC2. Для этого вам необходимо предоставить Accesskey и Secretkey, откуда вы получите ключ доступа и секретный ключ, который можно сгенерировать путем создания пользователя / роли с помощью IAM. У обоих сгенерированы кредиты. Теперь давайте посмотрим на роль. Роль может принимать ПОЛЬЗОВАТЕЛЬ / ресурс (EC2), теперь, если вы назначаете роль для EC2, тогда экземпляр по умолчанию получит все разрешения, связанные с этой ролью, то есть он получит Accesskey и SeceretKey. Теперь, если вы выполнили некоторую команду aws s3 ls, она извлечет ключи из пути по умолчанию и получит доступ к ресурсу AWS (здесь S3).

What is EC2 Keypair(PEM)?

Amazon EC2 uses public–key cryptography to encrypt and decrypt login information. Public–key cryptography uses a public key to encrypt a piece of data, such as a password, then the recipient uses the private key to decrypt the data. The public and private keys are known as a key pair.

Пара ключей связана только с вашим экземпляром EC2 и не может использоваться для доступа к другим ресурсам AWS. Он не зависит от IAM. Вы не передаете никаких идентификационных данных AWS. Закрытый ключ принадлежит вам (файл PEM), а открытый ключ хранится внутри экземпляра EC2 в этом файле ~/.ssh/authorized_keys. Если вы хотите изменить свои ключи и удалить предоставленную Amazon пару ключей, просто удалите ключ по умолчанию и поместите новый открытый ключ в указанный выше файл. Теперь вы можете использовать новую пару ключей для входа в свой экземпляр.

Таким образом, ваша пара ключей и IAM нигде не связаны. Больше подробностей

AWS EC2 Keypair

Документы AWS IAM

Я согласен с рабочим процессом, который вы указали, что роль IAM предоставляет все ключи доступа пользователя к экземпляру ec2 для доступа к службам, а EC2 KeyPair предназначен только для доступа ec2 с использованием ssh. Но разве вы не думаете, что это тоже проблема безопасности, когда кто-то получает доступ к паре ключей ec2, тогда этот человек будет иметь свободный доступ ко всем службам, или, может быть, я не знаю, имеет ли cli такой большой контроль или нет

Ladoo 10.08.2018 18:01

@Ladoo, ты все время говоришь, что кто-то собирается получить доступ к паре ключей. Пара ключей такая же, как и пароль. Это ваши учетные данные безопасности. Почему кто-то может получить доступ к вашей паре ключей SSH?

Mark B 10.08.2018 19:14

@MarkB, тогда меня немного смутил процесс. Теперь я получил ясное представление о сценарии.

Ladoo 10.08.2018 20:38

Другие вопросы по теме