AWS 最近引入了全局条件上下文键，以将 EC2 实例凭证的使用限制在实例本身。新密钥允许创建策略，将角色凭证的使用限制在它们的来源位置，从而降低凭证泄露的风险。

这两个新键是aws:EC2InstanceSourceVPC和aws:EC2InstanceSourceVPC，前者是一个包含 EC2 实例部署到的 VPC ID 的条件键，后者是包含 EC2 实例的主 IPv4 地址的条件键。

EC2 的 IAM 角色在 AWS 上得到广泛使用，允许应用程序在不管理安全凭证的情况下发出 API 请求，但临时凭证存在凭证蔓延的风险。AWS 的首席开发倡导者Sébastien Stormacq最近解释了该风险并展示了如何使用 GuardDuty 检测EC2 凭证泄露:

想象一下，您在 EC2 实例上运行的应用程序遭到破坏，恶意行为者设法访问该实例的元数据服务。恶意行为者会提取凭据。这些凭证具有您在附加到实例的 IAM 角色中定义的权限。根据您的应用程序，攻击者可能会从 S3 或 DynamoDB 中泄露数据，启动或终止 EC2 实例，甚至创建新的 IAM 用户或角色。

到目前为止，开发人员必须在角色策略或 VPC 端点策略中对角色的 VPC ID 和/或 IP 地址进行硬编码，以限制可以使用这些凭证的网络位置。AWS 的解决方案架构师Liam Wadman和AWS 的高级产品经理Josh Levinson解释说:

通过将两个新的凭证相对条件键与现有网络路径相关的aws:SourceVPC和aws:VpcSourceIP条件键结合使用，您可以创建 SCP 以帮助确保 EC2 实例的凭证仅在它们所在的 EC2 实例中使用发布。通过编写比较两组动态值的策略，您可以配置您的环境，如果使用 EC2 实例凭证签名的请求在发出它们的 EC2 实例以外的任何地方使用，就会被拒绝。