Gibt es eine Möglichkeit, die IAM-Richtlinie für eine EC2-Instanz ab sofort einzuschränken? Es kann nur eine kurze Liste von Dokumenten ausgeführt werden. Ich habe versucht, den Zugriff auf ssm: GetDocument wie folgt einzuschränken:

{
  "Version": "2012-10-17",
  "Statement": [
    {
        "Effect": "Allow",
        "Action": [
            "ssm:GetDocument"
        ],
        "Resource": [
            "arn:aws:ssm:ap-southeast-2:*:document/MyCommand"
        ]
    }
 ]}

Aber ich kann jeden Befehl auf der Instanz ausführen, auch das AWS-RunPowershellScript-Dokument.

Dieser Link zeigt, wie Benutzer in Bezug auf ssm: sendCommand: @ eingeschränkt werden könnehttp: //docs.aws.amazon.com/AWSEC2/latest/UserGuide/delegate-commands.htm