Как запустить aws-nuke в 2 разных организациях AWS

ProgramBox

Как запустить aws-nuke в 2 разных организациях AWS

Post author:admin
Запись опубликована:30 октября, 2022
Post category:Вопросы по программированию

#amazon-web-services #aws-control-tower #aws-nuke

#amazon-веб-сервисы #aws-control-tower #aws-nuke

Вопрос:

Я учусь использовать aws-nuke для удаления всех ресурсов из учетной записи AWS моей организации. Я смог успешно удалить свой личный ресурс в своей собственной организации, чтобы управлять сбросом ядерных зарядов. Интересно, будет ли это работать в разных организациях? Допустим, у нас есть 2 разные организации. Смотрите Скриншот выше.

Возможно ли, чтобы aws-nuke работал в 2 разных организациях, когда у нас есть опытный пользователь или системный администратор из организации B для управления учебной учетной записью в организации. Вот упрощенная версия схемы.

1. Я не думаю, что это будет работать в разных организациях. Весь смысл в том, чтобы ваша собственная организация управляла AWS-Nuke. Возможно, лучше всего связаться с автором, который написал это, вместо того, чтобы вращать колеса в одиночку.

2. Спасибо за вашу рекомендацию. Как мне связаться с автором aws-nuke?

3. может быть, я смогу обратиться к svenwltr, поскольку он является автором aws-nuke

4. Прочитайте README от aws-nuke, в нем не подробно изложено ваше дело. Но есть еще одна статья, в которой показано нечто подобное тому, чего вы пытались достичь здесь 1strategy.com/blog/2019/07/16 /…

Ответ №1:

Я использовал aws-nuke для управления своими учетными записями организации AWS. Вы определенно можете использовать роли разных учетных записей для этой задачи, предполагая, что вы уже можете запускать aws-nuke на своих ресурсах в своей учетной записи AWS. То, что вы можете делать в своей учетной записи AWS, вы можете делать с ролями разных учетных записей, за исключением нескольких действий AWS. Единственная проблема будет заключаться в том, что у роли AWS в разных организациях должно быть слишком много разрешений, а это рискованно. В документации AWS-nuke говорится, что такой инструмент для AWS-nuke очень рискованный и разрушительный!

Связывание учетных записей AWS через AWS Organization позволяет консолидировать выставление счетов, использовать политики управления службами и т. Д. На самом деле это не дает больше возможностей, чем то, что вы можете сделать с ролями разных учетных записей. Вам все равно придется использовать их, поскольку SCP фактически не дает вам разрешения, которое не дает вам IAM. Итак, чтобы ответить на ваш вопрос, сможете ли вы сделать это с организациями AWS?

Да, если вы используете роль AWS для разных учетных записей.

Сможете ли вы сделать это и с другими пользователями, не являющимися участниками?

Да, с ролями разных учетных записей. Здесь я подчеркиваю роли разных учетных записей и повторяю: все, что вы можете делать в своей учетной записи AWS, вы можете делать с ролями разных учетных записей, за исключением нескольких действий. Это мои 2 цента были бы просто за использование ролей между учетными записями.

1. Читаем этот ответ. Вы используете aws-assume-role, я полагаю, вы можете выполнять действия из одной учетной записи в другую. Итак, схема, показанная выше, должна работать. Единственная проблема здесь заключается в том, может ли aws-nuke взять на себя эту роль и выполнить ее или нет. Я бы обратился к автору aws-nuke, как я предлагал в первоначальном комментарии выше

2. Вот документ для справки, который я прочитал об aws-assume-role: docs.aws.amazon.com/IAM/latest/UserGuide /…

3. Вы можете предположить, что роль IAM через AWS cli, затем в файле конфигурации для aws-nuke вы можете передать значение для учетной записи в организации A и запустить ее. Теоретически, он может использовать все данные из этой учетной записи AWS в разных организациях

4. Вот статья, которая, похоже, описывает, что вы делаете: 1strategy.com/blog/2019/07/16 /… В нем показано, как передать учетные данные и секреты, чтобы включить пример aws sts assume-role aws.amazon.com/premiumsupport/knowledge-center /…

5. Это очень хорошие предложения! Благодарим вас за добавление этой информации.

Ответ №2:

Я смог связаться с автором aws-nuke и открыть страницу обсуждения здесь

Вам необходимо настроить доступ к нескольким учетным записям и запустить aws-nuke для каждой учетной записи с присвоением роли.

Возможно, что aws-nuke будет работать в 2 разных организациях, если у нас есть системный администратор из организации B для управления учебной учетной записью в другой организации (организации A).