AWS IAM SSM - Restringir documentos que as instâncias podem executar
Existe uma maneira de restringir a política do IAM para uma instância do EC2 s.t. ele só pode executar uma pequena lista de documentos - tentei restringir o acesso ao ssm: GetDocument assim:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:GetDocument"
],
"Resource": [
"arn:aws:ssm:ap-southeast-2:*:document/MyCommand"
]
}
]}
Mas posso executar qualquer comando da instância que ainda inclua o documento AWS-RunPowershellScript.
Este link mostra como os usuários podem ser restringidos em relação ao ssm: sendCommand:http://docs.aws.amazon.com/AWSEC2/latest/UserGuide/delegate-commands.html