#amazon-web-services #amazon-iam #sandbox #provisioning
#amazon-веб-сервисы #amazon-iam #изолированная среда #подготовка
Вопрос:
Я нашел несколько статей / сообщений, в которых обсуждается эта проблема, но нет окончательного решения, которое отвечало бы моим потребностям.
Моя компания использует целевую зону AWS с единым входом. На сегодняшний день облачная команда создает роли / политики IAM, которые требуются разработчикам для экспериментов с сервисами и создания концептуальных доказательств, однако разработчики заявили, что это слишком медленно / ограничительно, и запросили возможность создавать необходимые политики / роли IAM в своей учетной записи разработки. Я нахожусь в сложной ситуации, когда необходимо сохранить целостность нашей среды AWS, не препятствуя экспериментам и инновациям разработчиков.
Есть ли рекомендуемый подход к управлению этим? Я думал о том, чтобы разрешить передачу ролей только с префиксом пути «dev/», например, но это не касается создания новых ролей или политик, в которых разработчики могли бы разрешить iam:/resource:. Я также хотел бы предоставить новую учетную запись изолированной среды, которая отключена от остальной среды (сети, локальных пользователей IAM, а не единого входа), чтобы уменьшить радиус действия любой неправильной конфигурации разработчика. Единственной привязкой к компании будет то, что выставление счетов консолидируется в рамках организации AWS компании.
В настоящее время разработчикам назначен доступ PowerUser плюс некоторые ключевые действия IAM, такие как PassRole, в их учетной записи разработчика. Большинство наших разработчиков являются новичками в AWS, поэтому управление этим с помощью консоли предпочтительнее для этой учетной записи изолированной среды (а не через конвейер CI / CD).
Любые предложения приветствуются!
Спасибо, Джон
Ответ №1:
Несколько советов о том, как моя компания решает часть ваших проблем (компания является предприятием с выделенной архитектурной поддержкой от Amazon. Я понятия не имею, строго ли они следуют тому, что предлагает Amazon, поэтому имейте это в виду)
- Все пользователи создаются и управляются в центральной учетной записи компании без каких-либо прав, все выставление счетов делегируется определенной учетной записи выставления счетов.
- Затем все пользователи должны принять роль в своих соответствующих рабочих учетных записях (Developer@SalesAccount или Manager@MarketingAccount).
- Границы разрешений устанавливаются таким образом, чтобы пользователь IAM не мог предоставлять разрешения, превышающие его собственный уровень разрешений
- SCP применяются там, где это необходимо
Комментарии:
1. Спасибо за информацию qkhanhpro. У нас уже есть централизованное управление пользователями, когда пользователи принимают на себя соответствующие роли, назначенные им в целевых учетных записях, поэтому я думаю, что это касается пунктов 1 и 2. Я реализовал границы разрешений, которые, похоже, вполне соответствуют нашим потребностям. Единственная проблема, которую я обнаружил, заключается в том, что когда консоль управления AWS иногда автоматически создает роли (в данном случае dms для журналов cloudwatch), она не знает, как установить границу разрешения IAM, и падает. Хотя, возможно, тема для другого поста 🙂
2. Хм. Если вы говорите о роли, связанной с сервисом, и пользователь IAM может злоупотреблять этим, чтобы увеличить previllege, я не думаю, что это сработает reddit.com/r/aws/comments/acnif6 /…