如何解决“开发人员”和“配置人员”之间的访问权限隔离
我正在尝试设置AWS IAM用户和组。我想创建两个组:开发人员和预配人员。
开发人员应该能够使用他们可以访问的服务,但不能自行提供。 调配人员应该能够调配AWS服务。
有没有办法做到这一点?
谢谢
解决方法
是的,有可能,但这并不容易。您可以创建2个组,一个用于开发人员,一个用于供应商,然后需要将IAM策略附加到每个组。那是容易的部分。
困难的部分是知道每个组需要什么权限。在策略的Action
部分中定义了用户可以执行的操作。您需要查看所使用的每个服务的reference table,并确定哪些操作是“预配置”,哪些是“其他”。
例如,您可能希望限制只有“ provisioners”才能启动EC2实例,在这种情况下,您向该组授予ec2:RunInstances
权限,而不能将其授予另一组:
{
"Version": "2012-10-17","Statement": [{
"Effect": "Allow","Action": [
"ec2:RunInstances"
],"Resource": "*"
}
]
}
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。