我想使用IAM在AWS Cloud中实现安全性,如下所示:
1. Restricting Region(Possible)
2. Restricting Particular Service(EC2/RDS/VPC)(Possible)
3. Restricting IAM user(Disabled other IAM user resources)(Not Sure)
4. Deleting IAM user should delete AWS Resources created by this user.(Not Sure)
我遇到了一个名为Qwiklabs的Cloud Training网站,在那里他们严格限制了我的需求。
我已经尝试并完成了前两个限制(区域和服务)。 现在我不确定剩下的第三和第四。
有人可以建议我如何实现这种情况吗?
答案 0 :(得分:0)
广告3.-您能详细说明吗? 在Qwiklabs中,您的实验室是在单独的AWS帐户上创建的-那里没有其他用户。
广告。 4-您将不得不强制所有用户使用CloudFormation来提供资源或开发由删除用户操作触发的流程(Lambda / Step函数)
答案 1 :(得分:0)
4。删除IAM用户应删除该用户创建的AWS资源-您可以为此使用AWS Cloudtrail / AWS Lambda。
AWS Lambda:
https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/RunLambdaSchedule.html
您可以创建一个Lambda函数,该函数将在用户登录后立即触发。第一个Lambda函数应创建另一个与计划的事件关联的Lambda函数。
第二个Lambda函数包含特定用户的信息,用于删除特定用户创建的资源的指令以及用于删除计划事件的指令。
使用AWS CloudTrail:
通过使用以下示例命令,您可以获得用户执行的操作的列表。
aws cloudtrail lookup-events --lookup-attributes AttributeKey=username,AttributeValue=user@example.com
一旦有了您就可以删除它们。