期望的结果:在听到许多恶意用户访问AWS账户和消除资源的恐怖故事之后,我有兴趣创建一个可以将RDS快照和EC2 AMI /卷复制到完全独立的AWS账户的系统以供使用作为“时间胶囊”或“冰冷恢复”网站。
安全基础知识:我将IAM与MFA用于所有现有帐户,并根据需要访问权限限制谁可以做什么。大多数用户对所有内容都具有只读权限,少数用户是高级用户。我们从不使用root帐户。
初步发现:由于没有将AMI或快照复制到其他帐户的本地方式,我目前的理解是我需要使用我们当前的帐户来允许“保险库”帐户访问AMI /快照,然后使用保险库帐户从AMI / SS启动实例/数据库,然后再创建实例/数据库的另一个AMI / SS,以便在另一个帐户中创建完整副本。
问题:
我确信有足够的时间我可以使用SDK并制作一些可以做到这一点的东西,但我很乐意不自己编码。
答案 0 :(得分:1)
您无法将亚马逊机器映像(AMI)复制到其他AWS账户。
共享AMI然后从另一个帐户启动实例的方法是制作AMI副本的一种方法(虽然不是完美的副本,因为它将在启动新实例时使用)。
另一个想法是:
然后,在另一个帐户中,要么:
所有选项都会复制另一个帐户中的数据,可以是快照,卷或AMI。