排查未绑定IAM Role的EC2
没有绑定IAM角色的EC2实例大概率是在代码中写入了硬编码的IAM用户AKSK。因此,排查到没有绑定IAM Role的EC2后可以彻底检查部署在实例中的代码是否硬编码写入了用户的AKSK。如果是,则用IAM角色替换,避免AKSK泄漏,并且也可以避免泄漏后不方便轮换和回收程序的权限。
AWS Config检查EC2是否绑定了IAM Role
首先需要开通AWS Config,如何开通参见Getting Started with AWS Config
添加AWS Config 规则
ec2-instance-profile-attached
根据规则找到不合规的EC2,排查是否存在硬编码的AKSK,清除AKSK并用IAM角色替代。
EC2绑定IAM 角色后不需要在代码中提供任何安全凭据,可以直接执行代码完成AWS的API请求。只要IAM 角色绑定的权限策略授权即可。
最后更新于