我们正在AWS之上构建服务,以便我们的内部组织根据此处的参考文档管理其AWS账户。
参考:http://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html
问题:参考该文件,我们的服务相当于' ExampleCorp'。因此,我们必须共享我们的AWS账号,以便为我们的项目账户担任角色。
分享我们的AWS账号是一个安全问题' ?有人可以将此信息(AWS账号)用于恶意目的吗?
或者,
我们应该为每个项目/用户创建一个AWS账号吗?
注意: (我在互联网上找到的与此相关的唯一参考是下面的链接&它声称可以分享 - https://acloud.guru/forums/aws-certified-solutions-architect-professional/discussion/-KRUT9T6gFZ4Ebyv0hLp/my-aws-account-id-should-it-remain-private)。
由于
答案 0 :(得分:5)
在业务合作伙伴之间共享AWS账号是相当安全的。如果只有帐号,任何人都可以做的事情并不多。要承担角色,需要帐号,但授权帐户还必须为策略设置信任关系。请注意为合作伙伴提供IAM角色的权限。
您引用的关于欺骗亚马逊的链接中的评论。他们需要了解比提到的更多的信息。在这方面,亚马逊非常聪明并且非常小心。
您需要考虑为什么要授予第三方访问权以决定是否需要单独的帐户。例如,如果您从第三方购买安全/监控服务,他们将需要访问您的帐户中具有实例的实例。
答案 1 :(得分:1)
分享我们的AWS账号是一个安全问题' ?有人可以将此信息(AWS账号)用于恶意目的吗?
如果您需要有人为您提供跨帐户访问权限,则必须共享您的帐户ID。这就是如何建立信任关系。因此,分享您的帐号时不应存在安全问题。
或者,
我们应该为每个项目/用户创建一个AWS账号吗?
不,你没有。只需使用一个帐户链接到其他项目。
将AWS账号共享为外部ID
这是否否!为您要承担的每个交叉帐户角色生成外部ID的唯一字符串。您的外部ID可以识别您承担该角色并确定您的信任关系。如果您只是将您的帐户数量用作外部ID,并且由于某种原因您的IAM用户凭据遭到入侵,则您的关联帐户(具有角色)也可能会受到损害。我的建议是为每个项目生成新的外部ID,并且可能(特别是针对您的用例)为每个项目生成IAM用户,并为其分配策略,以便仅为各个帐户项目和可能需要的其他AWS服务承担角色。