我们计划在组织中使用AWS Codecommit。 我们的情况是,我们有一个名为“ codeAdmin”的IAM用户,可以创建存储库。 我的问题是如何在AWS Codecommit中处理开发人员。我们考虑以下情况
为每个开发人员创建一个新的IAM帐户(在所需组下添加),然后提供对所需代码提交存储库的访问。 这样,如果我们有30个开发人员,则需要创建30个IAM用户。
或为每个开发人员提供单个IAM开发人员帐户的acccessKey和accessId。 这样,如果我们有30个开发人员,则只需创建1个IAM用户,并向所有人共享accessKeys / Id。
以上哪种方法最合适?还是要遵循其他最佳做法?
答案 0 :(得分:1)
Amazon的最佳做法是为每个用户创建一个单独的帐户。从基于用户体验/位置的权限到(最可能是最重要的)可追溯性,这样做有很多好处。如果您只有1个帐户,并且有人搞砸了(希望不会发生),那么您将不知道那是谁,以及由什么引起的错误。
您可以阅读以下内容:https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
最诚挚的问候!
答案 1 :(得分:1)
为每个用户创建单独的iam用户更好。
首先,根据用户的经验和职位,不同的用户可能具有不同的权限。例如,也许您只希望管理员用户能够删除存储库。 其次,使用不同的用户可以帮助您的团队区分哪些开发人员创建了一个请求,哪些开发人员在该请求上发表了评论。如果30个开发人员共享同一个iam用户,则您将不知道是谁发表评论,创建合并请求,合并合并请求,因为他们始终是同一用户。