АМС EC2 Dashboard позволяет пользователям просматривать/изменять данные пользователя для любого данного экземпляра EC2 с помощьюКак управлять видимостью EC2 UserData в AWS консоли
Actions -> Настройки Instance -> Просмотр/изменение данных пользователя»
есть ли действие AWS IAM, которые могут ограничить эту функцию от пользователей консоли?
Amazon EC2 данных пользователя извлекается с помощью вызова API DescribeInstanceAttribute. Вы можете создать политики ОТРИЦАТЬ таких разрешений:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "NoAttributes",
"Effect": "Deny",
"Action": [
"ec2:DescribeInstanceAttribute"
],
"Resource": [
"*"
]
}
]
}
Однако Существует риск того, что отказ от такого разрешения может иметь некоторые непредвиденные побочные эффекты, потому что она будет также блокировать доступ к другим атрибутам, тоже. Поэтому убедитесь, что вы его протестировали.
Следует также отметить, что данные пользователя выполняются только при загрузке экземпляра («один раз на экземпляр-id»). Таким образом, даже если пользователи имеют возможность редактировать Пользовательские данные, это фактически не будет выполняться после первой загрузки.