有時候我們需要限制一下某些權限較高的用戶使用權限的方式,來增強安全性。
我給個方案,可使AWS管理員的權限使用起來更安全:
(1)創建用戶wangfei,不要AccessKey,管理員權限,設置密碼(設置了密碼才能web console登錄),只用作瀏覽器操作,然後使用MFA綁定手機,這樣可以在任何地點用web console來操作,綁定了手機驗證登錄,而且還沒有AccessKey,比較安全。
(2)創建wangfei-api用戶,不設置密碼,無web console登錄權限,創建AccessKey, 只用作API操作, 然後授權,然後加入如下這個策略來限制AccessKey使用的來源IP
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NotIpAddress": {
"aws:SourceIp": ["114.255.34.0/24", "114.247.160.128/25"]
}
}
}]
}
在白名單IP範圍內正常操作
在有權限但不在IP白名單內地方執行API操作時會報錯
A client error (UnauthorizedOperation) occurred when calling the DescribeVpcs operation: You are not authorized to perform this operation.