我有一个Amazon EC2实例和一个我希望保密的相应RDS实例。我想保留它,以便只有我自己和系统管理员才能访问这些实例。我不想提供对其他开发者的访问权限。
但是,我的一位开发人员正在开发一个项目,他需要创建/配置自己的EC2 / RDS实例。我可以让我的系统管理员执行这项工作,但我宁愿让开发人员为了方便起见而这样做。
有没有办法以允许我将当前实例与新开发人员保密的方式配置组/角色/策略,但是是否允许他创建自己的EC2和RDS实例?
答案 0 :(得分:1)
您的问题似乎是混合了几个安全概念,例如“私人'群组/角色/政策'和防火墙'。
Amazon EC2实例具有多个安全层:
因此,如果某个人拥有登录凭据,安全组允许访问正在使用的协议(RDP或SSH),并且用户可以从Internet访问该实例,则该人员只能登录实例。私人网络。
同样, Amazon Relational Database Service(RDS)实例受以下保护:
CREATE USER
数据库命令添加其他用户请注意,上述控件均不涉及用于授予对AWS服务访问权限的身份和访问管理(IAM)用户/组/角色/策略,例如启动的功能Amazon EC2实例或Amazon RDS实例。
因此,您拥有现有Amazon EC2和Amazon RDS实例的事实对您选择启动的任何其他实例的安全没有影响。如果用户无法访问您现有的服务,则启动更多服务不会改变这种情况。
如果您希望让另一个人能够启动新的EC2 / RDS实例,您可以通过在其IAM用户实体上应用适当的策略来实现此目的。但是,您可能需要注意您给予他们多少权限,因为您可能还授予他们删除现有实例,更改主密码,创建和恢复快照(从而可能访问您的数据)和更改网络的权限。配置(可能会将您的实例暴露给Internet)。
在向某人授予IAM权限时,建议您授予最低权限,这意味着您应该只向他们提供所需的权限,不再是。如果您不确定授予它们的权限或如何配置这些权限,那么让您的系统管理员代表他们创建实例是明智之举。这样,您就完全了解已完成的工作,并且您没有可能暴露您的系统。
答案 1 :(得分:0)
好的,关于事情如何运作的最佳解释是@John Rotestein的回应。但这里有一些实用的建议(必须考虑作为对John的回应的补充):