我想让开发人员可以访问由AWS上的EC2实例托管的MongoDB。
他应该能够制作mongodump,上传新的后端并在我们的控制面板上进行一些更改。
我创建了一个具有EC2FullAccess权限的IAM用户-我已经看到他能够将自己的IP添加到安全组,以便他可以连接。
我对此不太满意-我应该怎么做,以确保自己有足够的机会去做必要的工作:
我根本不希望他能够关闭/删除我的实例或删除我的数据库。
答案 0 :(得分:1)
看您的用例,您不需要授予任何EC2权限,您的开发人员甚至不需要IAM用户,他只需拥有实例的IP和EC2实例的登录凭据,就足够了登录到实例并进行所需的更改。不需要IAM用户或AWS控制台访问。
答案 1 :(得分:0)
IAM角色是为了代表他人访问服务。假设您要从EC2实例访问AWS DynamoDB或S3。在这种情况下,将具有所需权限的IAM角色附加到EC2即可达到目的。
IAM用户适用于需要通过控制台或API(程序化)访问AWS服务的用户。必须使用AWS凭证才能访问该服务。
在您的情况下,MongoDB安装在EC2上,并且您的开发人员需要访问“安装MongoDB的服务器”,并且不需要任何对“ AWS EC2服务”的访问。 正如@ X-Men正确指出的那样,完全不需要IAM角色或IAM用户。所需的是,您的开发人员必须具有服务器的IP和凭据才能登录到该服务器。用户名密码或用户名键。
与MongoDB相关的开发人员所需的限制将在MongoDB本身而不是EC2级别上配置。