🐶
[AWS]予期せぬインスタンスプロファイルがRoleに関連付けされている
事象
本来EC2にアタッチ予定のないRoleにインスタンスプロファイルが作成されていた。
画像はAWS Backupで利用するRole
問題点
EC2にアタッチすることができてしまうので、インシデント発生につながる恐れがある。
原因
Role作成時にユースケースを「EC2」選択で作成し、信頼関係が下記で作成されたため。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "ec2.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
インスタンスプロファイルの削除方法
コンソールから削除することはできなかった(2023/2/1)ためAWS CLIを使用する。
Roleとインスタンスプロファイルの関連確認
AWS CLIを使用して確認
$ aws iam get-instance-profile --instance-profile-name test
Roleとインスタンスプロファイルの関連を解除
関連を解除しなければ、インスタンスプロファイルの削除ができないため下記のコマンドで関連を解除する
$ aws iam remove-role-from-instance-profile --instance-profile-name test --role-name test
$ aws iam get-instance-profile --instance-profile-name test
インスタンスプロファイルの削除
コマンド実行後、インスタンスプロファイルが削除されたことを確認
$ aws iam delete-instance-profile --instance-profile-name test
$ aws iam get-instance-profile --instance-profile-name test
コンソールからRoleの確認
対象のRoleからも関連付けが解除されたことを確認できる。
EC2の設定からも対象のRoleは選択できなくなっている。
Discussion