Amazon EC2 данных пользователя извлекается с помощью вызова API DescribeInstanceAttribute
. Вы можете создать политики ОТРИЦАТЬ таких разрешений:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "NoAttributes",
"Effect": "Deny",
"Action": [
"ec2:DescribeInstanceAttribute"
],
"Resource": [
"*"
]
}
]
}
Однако Существует риск того, что отказ от такого разрешения может иметь некоторые непредвиденные побочные эффекты, потому что она будет также блокировать доступ к другим атрибутам, тоже. Поэтому убедитесь, что вы его протестировали.
Следует также отметить, что данные пользователя выполняются только при загрузке экземпляра («один раз на экземпляр-id»). Таким образом, даже если пользователи имеют возможность редактировать Пользовательские данные, это фактически не будет выполняться после первой загрузки.