亚马逊网络服务开发者用户权限

Question

我有一个Amazon Web Services帐户，用于托管应用程序的支持。后端使用PHP/MySQL，很可能会使用EC2个实例和RDS。我有自己的帐户，可以访问所有内容。我需要为开发人员创建一个帐户，以便将后端放在AWS上，但我不希望他们能够访问除他们需要的任何内容之外的任何内容。我知道如何创建IAM用户和群组，但我不知道授予开发者的权限。在Select Policy Template下有一个Power User模板，这对开发人员有用吗？有人曾经这样做过吗？

Answer 1

AWS身份和访问管理（IAM）中的高级用户访问模板授予执行ANYTHING的权限，但使用IAM除外。拥有此权限的用户可以查看，创建或删除您的AWS账户中的任何资源，但他们无法创建新用户或修改任何用户权限。

建议您仅向用户提供使用AWS所需的最少权限，以便他们不会故意或意外地执行不需要的操作。但是，如果您没有足够的AWS知识来了解所需的功能，那么您很可能需要信任开发人员根据您的需求配置系统。

一些提示：

• 仅通过 IAM用户授予他们访问权限 - 永远不会向他们提供您的根凭据
• 如果您不知道需要哪些权限，那么“高级用户”至少比“管理员”更安全，因为他们无法编辑IAM设置
• 当他们完成工作后，撤销他们的访问权限，以便他们无法再创建任何AWS资源
• 确定您是否也希望撤销对EC2实例的访问权限（您必须在实例本身上执行此操作）
• 您可能需要定义一些将与Amazon EC2一起使用的roles - 这些是在IAM中定义的，因此开发人员无权自行创建角色
• 向开发人员询问他已部署的文档
• 启用Detailed Billing以确定您收到的AWS收费，并根据文档检查
• 启用CloudTrail以激活帐户审核（按区域激活）

或者，您可以执行所有AWS配置（启动EC2实例，创建数据库），并且只允许开发人员登录EC2实例本身。这样，他们就不需要访问您的AWS账户了。