如何保护自己免受AWS EC2实例被颠覆和创建其他实例的影响？

Question

我正在自由层EC2实例上运行一个自定义服务器程序。我不是一个安全专家，所以虽然我已经采取了我知道如何保护我的软件的每一步，但我的代码或运行在实例上的任何其他程序中很可能存在一些漏洞，使得攻击者能够控制。

我听说过黑客颠覆一个EC2实例，然后使用EC2 API购买价值数万美元的计算机，以便在您的EC2帐户上挖掘比特币的恐怖故事，留下受害者的账单。

由于我没有能力在VM中动态地更改我的EC2实例，所以我如何关闭它，或者以其他方式减轻这种攻击呢？

Answer 1

AWS维护EC2实例的“角色”概念。当启动一个新实例时，您可以为服务器指定一个角色。该角色必须在生成过程中应用，并且不能添加到已经运行的服务器中。在标识和访问管理(IAM)区域，您可以定义角色的权限(例如，启动额外的计算单元、停止服务器、删除EBS卷等)。

最佳实践是创建一个角色，该角色不允许服务器执行任何AWS操作，这些操作对于服务器的预期目的来说是不必要的。

您可以阅读有关EC2 这里基于AWS角色的访问的更多信息。

以及一般这里中的角色。

此外，根据服务器必须与外部世界通信的需要，考虑将其设置为防火墙。在AWS中，这是用安全团体完成的。