在我们公司中,我们正在向所有开发人员添加管理员角色。我认为这是一个很大的风险,现在我想限制开发者的权限。我的目标是开发人员可以添加任何资源,但不能接触测试和生产环境。
我当时正在考虑就IAM建立一个小组,并制定以下政策,但也许有更好的方法。
test.bmp
是否存在一套最佳实践,可以在AWS上的几种环境(开发,测试,生产)中使用?
答案 0 :(得分:1)
您最好的选择是拥有完全独立的AWS帐户,一个或多个仅用于生产,一个或多个仅用于开发/测试环境。
出于计费目的,您可以将它们完全捆绑在一起。
您绝对不希望所有开发人员都具有对产品环境的管理员访问权限,而单独的帐户将有助于限制发生灾难性错误的可能性。