Question

我想授权我的开发人员为我的应用设置EC2和MongoDB。基本上，将所有内容从他的服务器移动到我的AWS上。

我创建了一个名为＆＃34; Developer＆＃34;并将策略设置为＆＃34; PowerUserAccess＆＃34;。

我已经为这个群组添加了一个用户，这意味着他现在有了＃34; PowerUserAccess＆＃34;访问。

我的问题：

我现在应该为该特定用户指定更多权限，因为在我看来他现在拥有的访问权限超出了他实际需要的数量吗？如果是，怎么办？

Answer 1

Poweruseraccess Group基本上可以完全访问除IAM设置管理之外的所有aws服务。

本主题非常详细地记录了AWS

上的用户案例场景和最佳做法

Answer 2

使用＆＃34; AmazonEC2FullAccess＆＃34;提供对EC2实例的访问权限。
启动EC2实例并向Developer提供Public IP和密钥（或创建用户），以便他可以配置实例。
如果服务器是EC2实例，您可以要求他为您的帐户创建AMI和share the AMI。

基本上，将所有内容从他的服务器移到我的AWS上。

Answer 3

尝试将权限限制为仅开发人员执行其功能并满足您的业务需求所需的权限。您可以通过创建具有满足以下条件的客户托管策略的开发人员组来做到这一点：

将组权限限制为您要在其中运行应用程序的一个或多个区域。
创建一个VPC，并将组限制为仅在此VPC中创建EC2实例，以将违反行为限制为不影响其他实例或与其他实例通信。
出于成本考虑，请确定满足业务需求所需的实例时间，并将权限限制为该时间。

以下是您可以应用此政策的方式：

{
"Version": "2012-10-17",
"Statement": [
    {
        "Effect": "Allow",
        "Action": "ec2:*",
        "Resource": [
            "arn:aws:ec2:[region]:[account id]:instance/*"
        ],
        "Condition": {
            "StringEquals": {
                "ec2:InstanceType": "m1.small"
            },
            "ArnEquals": {
                "ec2:Vpc": "arn:aws:ec2:[region]:[account id]:vpc/[vpv id]"
            }
        }
    }
]

}

可能不需要同时指定VPC和EC2实例资源即可将其限制在特定区域。指定VPC条件可能就足够了。您可以简单地用*替换资源值，例如“ Resource”：“ *”。

Answer 4

我建议您创建具有不同粒度权限的不同组。例如，您可能只想给某些开发人员读访问权限，给一些开发人员读和写权限，以及一些读，写和删除权限。因此，您可以创建三个组-

DeveloperWithReadAccess，
DeveloperWithReadAndWriteAccess
DeveloperWithReadWriteDeleteAccess

以便可以使用aws托管策略和客户托管策略来授予常规访问权限。如果您有任何特定情况，则可以对任何特定用户使用内联策略。

正式白人也有同样的看法。

IAM组是用于管理对AWS资源的访问的强大工具。即使只有一个需要访问特定资源的用户，作为一种最佳实践，您也应该为该访问标识或创建一个新的AWS组，并通过组成员身份以及在该站点分配的权限和策略来配置用户访问权限。组级别。

您可以在以下位置阅读相同内容 https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Best_Practices.pdf

亚马逊AWS IAM用户

4 个答案: