背景短,我们是一家小企业,但我们的客户规模更大。我们订购了一些部署到AWS弹性beanstalk的软件。与我们不同,客户拥有自己的devops团队,并且需要管理一些技术支持。他们需要访问运行该软件的AWS账户,因此他们可以执行诸如重新启动服务器,清除数据库(如果他们搞砸了),更改EC2实例类型等操作。这没关系,但我们希望阻止软件下载在AWS账户之外。
该软件是在Tomcat上运行的java WAR,位于单个弹性beanstalk实例上。我们只关心限制对WAR文件的访问(例如,不是数据库)。
beanstalk应用程序版本页面似乎无法下载WAR文件 - 这很好。他们可以通过SSH进入底层的EC2实例,因此可能只是将WAR复制到tomcat目录之外。鉴于AWS的复杂性,他们可能还有其他方式可以访问WAR文件(例如克隆EBS卷并连接到另一个EC2实例)。
我认为可通过AWS marketplace购买的机器实例必须具有某种形式的复制保护,但我无法找到有关此问题的任何详细信息。此外,AWS似乎只接受比我们大得多的市场供应商,因此市场选择可能不对我们开放。
任何想法如何阻止访问弹性beanstalk上运行的WAR文件,同时仍然允许客户端访问AWS账户? (或至少使访问变得困难)。
答案 0 :(得分:0)
唯一可以想到的解决方案是,从帐户中移除任何EC2 SSH密钥对,特别是拒绝他们对ec2:CreateKeyPair的访问权限。实际上,您需要做的是授予他们对帐户的最小权限访问权限,即专门授予他们访问他们绝对需要的操作的权限。
这将有很长的路要走,但是如果对AWS有足够的了解,那将是一场艰苦的战斗,试图确保你给予他们足够的访问权来做他们需要的事情,而不是给他们超过你想要的。我会质疑合法选项(如合同,许可证等)是否会为此提供更好的保护。