我正在为我们的AWS基础架构设置灾难恢复架构,并在Cloud Formation上对所有这些架构进行建模。
所有开发人员都拥有基础架构的高级用户权限,并根据需要进行频繁更改。当然这会弄乱我的Cloud Formation模板。
有没有办法限制某个操作[例如在一个sec组中添加一个新的TCP规则],以便在其生效之前必须得到另一个人[me]的批准?
通过这种方式,我可以监控[开发人员忘记通知我的变化],并且Cloud Formation模板将始终是最新的并描绘真实的东西。
注1 :
我已经设置了一些事件订阅[针对初学者的RDS],但我不确定它们是否是最佳/完整的解决方案。
注2 :
对于操作的确认可能对修改/删除/终止EC2和/或RDS实例等关键操作很有用。
答案 0 :(得分:1)
在正常情况下禁止直接访问更改AWS基础架构
允许开发人员更改云信息模板,但为他们提供需要批准的推送/上线流程。例如,您可以设置gitolite来阻止对“master”分支的更改,但允许更改“dev-changes”分支,然后在检查后合并
在紧急情况下允许他们进行更改并随后赶上模板