标签: amazon-web-services amazon-iam backup-strategies
我正在设置一个单独的AWS账户(“保险柜”),以从我的AWS生产账户备份S3存储桶和RDS快照。此“保险柜”的目的是确保即使我们的一个AWS账户被黑客入侵并安全地存储数据, 还提供额外的(可能跨区域)安全性。偏执狂,不是吗?
我想知道如何正确地将“保险柜”帐户与主帐户隔离。显然,跨帐户IAM策略需要到位,以允许访问所需资源以执行备份,但是如果我通过“ AWS组织”向生产帐户添加新帐户,则可以从生产帐户切换到该帐户,违反分离的目的。
是否有最佳做法/政策应该怎么做?