限制基于EC2实例到S3接入和用户

问题描述：

我在以前的帖子，我可以使用EC2实例的IAM角色限制访问S3桶都看到了。但这里的问题在于，如果我有一个账户中有几个用户，我不能将IAM角色的使用限制在该账户中的特定组或个人。无法阻止我阻止该帐户中的任何人使用该IAM角色旋转实例。限制基于EC2实例到S3接入和用户

所以我的困境是，如果我已经基于EC2 Role授予了S3访问权限，并且无法锁定可以使用该角色的帐户中的用户，则会向帐户中的所有人开放我的S3存储桶。

请让我知道，如果有办法，我可以，无论是（1）限制EC2实例越来越纺了使用特定的角色，或者，（2）限制基于EC2角色和用户S3访问登录到实例。

答

启动Amazon EC2实例与分配需要PassRole权限，这可以进一步指定哪个角色可以被传递到实例。

默认情况下，你不应该给任何人的许可PassRole。然后，您可以将其分配给适当的用户/组，并指定他们可以使用哪些角色。

这避免了有限的权限内的用户可以通过启动一个实例与角色，然后使用许可给实例做超出其权限，活动临时凭证获得额外权限的机会。

这类似于AssumeRole权限，控制谁可以承担的角色。