Ngăn người dùng EC2 nhìn thấy thông tin xác thực và bí mật AWS

Loc12342

17:10, 19/05/2023

lời nói đầu:

Tôi sử dụng một phiên bản EC2 của windows có gắn vai trò cho phép phiên bản đó truy cập vào các bí mật cụ thể của Trình quản lý bí mật AWS. Chúng tôi không bao giờ sử dụng các phím truy cập trực tiếp. Ứng dụng chạy trên phiên bản cần có khả năng lấy những bí mật này.

Người dùng cuối của phiên bản này hiện được yêu cầu RDP vào phiên bản đó để thực hiện tác vụ của họ. Người dùng cuối không bao giờ trực tiếp biết rằng họ có thể truy cập các bí mật của trình quản lý bí mật, nhưng điều đó là có thể.

Người dùng cuối đang truy cập ứng dụng CLI và trang web chạy cục bộ trên máy EC2.

Vấn đề:

Vì phiên bản có vai trò cho phép nó nhìn thấy các bí mật, nên người dùng cuối có thể sử dụng AWS cli hoặc curl, v.v. trong phiên RDP để truy xuất các bí mật mà lẽ ra họ không thể truy cập trực tiếp.

Câu hỏi:

Làm cách nào để ngăn người dùng cuối truy cập vào các bí mật, đồng thời cho phép cá thể tự do cần để thực hiện chức năng của mình? Có điều gì đó có thể được thực hiện đối với quyền của người dùng trong trường hợp này không? Bất kỳ giải pháp thay thế?

0 + 0

chia sẻ màn hình

amazon-ec2

amazon-web-services

Tim

19:27, 19/05/2023

Tôi không chắc bạn có thể ngăn người dùng truy cập bất kỳ thứ gì mà vai trò cá thể cho phép. Bạn có thể phải xem liệu có một số loại kiểm soát cấp độ người dùng Windows để ngăn chặn điều này hay không. Nếu không, bạn có thể phải ngăn chúng RDPing vào máy.

Hồi đáp

shearn89

16:27, 24/05/2023

Ngoài việc sử dụng các điều khiển cửa sổ để ngăn người dùng chạy AWS CLI hoặc bất kỳ SDK nào, tôi không chắc điều này là khả thi.

Hồi đáp

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: Prevent EC2 User from Seeing AWS Secrets and Credentials

TH: ป้องกันไม่ให้ผู้ใช้ EC2 เห็นความลับและข้อมูลประจำตัวของ AWS

RO: Împiedicați utilizatorul EC2 să vadă secretele și acreditările AWS

RU: Запретить пользователю EC2 просматривать секреты и учетные данные AWS

VI: Ngăn người dùng EC2 nhìn thấy thông tin xác thực và bí mật AWS

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.