Временно разрешить доступ инстанса EC2 к AWS CLI

Я развертываю экземпляр EC2 с помощью CloudFormation, и мне нужно опубликовать информацию о созданном экземпляре в конечной точке HTTP. Я планирую сделать это с помощью SNS. Однако я не хочу, чтобы экземпляр имел постоянный доступ для публикации в конечной точке или мог использовать интерфейс командной строки AWS.

Есть ли способ развернуть экземпляр с разрешением на публикацию в указанной теме SNS, а затем сразу же отменить разрешение?


amazon-web-services amazon-ec2 amazon-iam amazon-cloudformation amazon-sns
person cameronliam    schedule 01.04.2016    source источник
comment
Как вы запускаете CloudFormation? Одна из идей заключалась бы в том, чтобы любой процесс запускал CloudFormation для публикации информации. Информация об экземпляре может быть предоставлена ​​как Output стека CloudFormation.   -  person John Rotenstein    schedule 01.04.2016
comment
@JohnRotenstein, спасибо, это оказалось полезным   -  person cameronliam    schedule 03.04.2016

Ответы (1)


arrow_upward
0
arrow_downward

Используйте IAM (совместные политики IAM и Amazon SNS), чтобы создать SNS Role, у которого достаточно привилегий для публикации указанной темы SNS.

Запустите экземпляр и укажите свою роль в качестве IAM-профиля экземпляра.

После публикации удалите привилегии SNS из роли с помощью панели управления IAM или из экземпляра (убедитесь, что у роли есть права на отмену разрешения).

person helloV    schedule 01.04.2016
comment
Спасибо, искал в том же направлении. Однако мне нужно, чтобы процесс был полностью автоматизирован. Есть ли способ сделать это без доступа к приборной панели? Кроме того, когда вы говорите удалить привилегии, что именно вы имеете в виду? Удаление политики из роли? - person cameronliam; 03.04.2016