Запретить кому-либо доступ к содержимому моего экземпляра EC2 в AWS

Question

Я использую общую учетную запись AWS (все в этой учетной записи имеют root-доступ) для развертывания серверов на созданном мной экземпляре EC2. Есть ли способ запретить кому-либо еще, имеющему доступ к той же учетной записи AWS, доступ к содержимому, которое я поместил в экземпляр EC2?

Насколько я знаю, создание отдельной пары ключей не будет работать, потому что кто-то другой может сделать снимок экземпляра и запустить его с другой парой ключей, которой он владеет.

Answer 1

По умолчанию пользователи IAM не имеют доступа к каким-либо службам AWS. Они не могут запускать экземпляры Amazon EC2, получать доступ к данным Amazon S3 или снимать моментальный снимок экземпляра.

Однакочтобы они могли выполнять свою работу, необходимо назначить разрешения пользователям IAM. обычно рекомендуется , а не , чтобы предоставить доступ администратора всем .Скорее, людям должны быть назначены достаточные разрешения для выполнения назначенной им работы.

Некоторые компании разделяют ресурсы Dev / Test / Prod, предоставляя многим людям разрешение в средах Dev, но блокируя доступ к Production .Это сделано для обеспечения непрерывности, возможности восстановления и конфиденциальности.

Ваше требование состоит в том, чтобы запретить людям доступ к информации о конкретном экземпляре Amazon EC2 .Это можно сделать с помощью пары ключей, которую знают только вы.Таким образом, никто не может войти в экземпляр.

Однако, как вы указали, могут существовать способы обойти , такие как копирование диска (снимок EBS) и его монтирование на другом компьютере,тем самым получая доступ к данным.Это аналогично безопасности в традиционном центре обработки данных - если кто-то имеет физический доступ к компьютеру, он может извлечь диск, подключить его к другому компьютеру и получить доступ к данным.Вот почему традиционные центры обработки данных имеют значительную физическую защиту для предотвращения несанкционированного доступа.AWS, эквивалентным этой физической безопасности, являются разрешения IAM, которые предоставляют определенным пользователям разрешение на выполнение определенных действий (например, создание моментального снимка диска).

Если есть пользователи с правами администратора / root для учетной записи AWS, тоони могут делать все, что пожелают.Это по замыслу.Если вы не хотите, чтобы люди имели такой доступ , то не назначайте им эти разрешения.

Иногда компании сталкиваются с компромиссом: они хотят, чтобы администраторы могли делать все необходимое дляпредоставлять ИТ-услуги, но они также хотят защитить конфиденциальные данные.Примером этого является система управления персоналом, которая содержит конфиденциальную информацию, которую они не хотят делать доступной для общего персонала.Типичный способ сделать это - поместить систему управления персоналом в отдельную учетную запись AWS , которая не обеспечивает общий доступ для ИТ-персонала и, возможно, имеет дополнительные меры безопасности, такие как MFA и дополнительное ведение журнала аудита * 1034.*.

Итог: Если у людей есть физический доступ или права администратора, они могут делать все что угодно.Вам следует либо ограничить предоставление разрешений, либо использовать отдельную учетную запись AWS.

Answer 2

Я использую общую учетную запись AWS (все в учетной записи имеют root-доступ) для развертывания серверов в созданном мной экземпляре EC2.Есть ли способ запретить кому-либо еще, имеющему доступ к той же учетной записи AWS, доступ к содержимому, которое я поместил в экземпляр EC2?

Нет, вы не можете достичь своей цели.

Когда дело доходит до безопасности доступа, у вас либо 100% безопасность, либо ее нет.Если у других пользователей есть root-доступ, вы не можете запретить им делать то, что они хотят, для вашего экземпляра.Они могут удалять, изменять, клонировать и получать доступ.Существуют методы, которые могут сделать это более трудным, но любой, кто имеет большой опыт, сможет обойти эти методы.

Моя рекомендация - создать отдельную учетную запись.Это не всегда возможно, как в вашем случае, но является стандартной передовой практикой (разделение доступа / ответственности).Это изолирует ваш экземпляр от других.

Существуют сторонние инструменты, которые поддерживают шифрование данных.Вы не сможете хранить ключи / парольные фразы в экземпляре.Вам нужно будет вводить ключи / парольные фразы каждый раз, когда вы шифруете / дешифруете свои данные.

Насколько я знаю, создание отдельной пары ключей не будет работать, потому что кто-то другой может сделать снимок экземпляра изапустите его с другой парой ключей, которой они владеют.

С правами доступа root существует множество способов доступа к данным, хранящимся на диске вашего экземпляра.Клонируйте диск и просто смонтируйте его на другом экземпляре. Один из примеров.