在AWS上,如何授予我的转包商访问权限以仅创建和管理其资源?

时间:2015-08-05 07:20:27

标签: amazon-web-services amazon-ec2

我即将开始与第三方(分包商)合作。他希望我为他提供一个开发环境(云基础架构)。稍后,生产环境将需要类似的基础设施。

我想让分包商完全访问他创建的EC2实例,而不能访问其他实例。此外,他可能需要访问其他一些服务,如弹性容器服务(ECS)。

现在我拥有一个完整的AWS账户,其中包含我的开发人员的用户帐户。

是否可以为我的转包商创建一个策略,以便他可以自由地创建和管理EC2实例,但只能创建和管理他创建的实例?同样对于ECS?

我看到的另一个选择是创建一个全新的AWS账户,并为我的分包商创建一个具有管理员权限的子账户。通过这种方式,我可以将他的作品与我自己的作品区分开来。

你会建议什么?

3 个答案:

答案 0 :(得分:4)

我想建议一个稍微不技术的解决方案 - 但很容易上手并立即生产。请创建一个新的AWS账户,然后您可以将该账户的账单/发票添加到现有账户。

通过这种方式,您可以获得单一账单(无需担心多种付款方式) - 所有权,控制权和可以通过创建具有管理员权限的IAM用户来委派权限;您仍然可以获得有关分包商账户的可见性和成本信息。您可以选择允许分包商访问您的结算信息。

您可以利用第二个AWS账户的root账户访问权限进入Sub-Contractors的活动,或者在该账户中创建另一个Admin IAM账户(推荐方法)。

您将使用关联帐户,合并结算概念。

来源:

http://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/consolidated-billing.html

https://support.cloudability.com/hc/en-us/articles/200311923-How-to-Set-Up-Consolidated-Billing-at-AWS

Paying Account - Linked Account

PS

技术或更复杂的方法是创建资源组 - 在我看来IAM用户很难管理和协调。有关详情,请查看 - http://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/obtaining-permissions-for-resource-groups.html

答案 1 :(得分:0)

我发现这篇文章可能会对你有所帮助。这有点长,所以我为你粘贴网址。

http://blogs.aws.amazon.com/security/post/Tx29HCT3ABL7LP3/Resource-level-Permissions-for-EC2-Controlling-Management-Access-on-Specific-Ins

答案 2 :(得分:0)

您可以创建IAM帐户并为此分配策略,您可以按照以下步骤操作。

此链接将为您提供更多帮助

https://www.linkedin.com/pulse/how-control-aws-resource-using-iam-mansoor-ul-hasan?published=t

此致 -Mansur

相关问题
最新问题