Estou tentando entender as implicações de segurança de conceder acesso à ação EC2 de criação de imagem. As docs dizem que a ação criar imagem não oferece suporte a recursos do IAM, portanto, a concessão de acesso a essa ação permitirá que qualquer pessoa tenha acesso à imagem de qualquer uma das instâncias do EC2. Isso está correto?
Além disso, se um usuário puder criar uma imagem e, em seguida, executar a instância, acredito que eles possam iniciar a nova instância com seu par de chaves e obter acesso a uma informação sensível que esteja fora do limite dentro do nó. Isso está correto?
Esta postagem no blog sugere que podemos usar Permissões em nível de recurso para limitar quais AMIs um usuário pode executar, mas meu entendimento é que o IAM pode permitir que controlemos quem pode criar tags, mas não limitar quais tags podem criar / modificar ou quais nós ou AMIs do EC2 podem ser marcados .
Tudo isso está levando à minha questão XY principal.
Existe uma maneira de conceder a alguns desenvolvedores a capacidade de criar imagens de alguns nós do EC2 sem expor credenciais seguras que possam existir em outros nós do EC2?
Tags amazon-ec2 amazon-iam