ec2:防止在没有 IMDSv2 的情况下启动 EC2 实例

使用IMDSv1版本的实例非常容易被攻击者获取到安全凭据也就是IAM的AKSK,因此为了避免严重的安全事件,建议所有的EC2实例都使用IMDSv2。

[
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "StringNotEquals":{
            "ec2:MetadataHttpTokens":"required"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:RunInstances",
      "Resource":"arn:aws:ec2:*:*:instance/*",
      "Condition":{
         "NumericGreaterThan":{
            "ec2:MetadataHttpPutResponseHopLimit":"3"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"*",
      "Resource":"*",
      "Condition":{
         "NumericLessThan":{
            "ec2:RoleDelivery":"2.0"
         }
      }
   },
   {
      "Effect":"Deny",
      "Action":"ec2:ModifyInstanceMetadataOptions",
      "Resource":"*"
   }
]

参考资料

防止在没有 IMDSv2 的情况下启动 EC2 实例

上一页iam: 阻止创建根用户的AKSK下一页RAM: 阻止外部共享

最后更新于