我基本上希望他们能够创建/修改他们创建的任何内容,但实际上并不能修改/删除现有资源。
或者以其他方式将它们放入自己的气泡中。
我实际上是获得AWS认证架构师的,因此无论您说什么,都应该有所了解。我忘了为考试学到的大部分知识。
现在我让他们成为PowerUser。
谢谢!
答案 0 :(得分:2)
当前,在共享的AWS账户中没有完美的解决方案。如果需要这种隔离级别,则创建子帐户是实现此目的的方法。
答案 1 :(得分:0)
但不能真正修改/删除现有资源。
您可以使用资源和/或身份标签,然后基于标签允许或拒绝操作。例如您可以拒绝标签env = production的任何操作。参见https://docs.aws.amazon.com/IAM/latest/UserGuide/access_tags.html
您可以创建简单或更复杂的Tag Policies来实施一致的资源标记。
还有一种在标签中强制所有者身份的方法,因此您可以分配成本。 (如果需要,只需在inet中搜索)
或者以其他方式将它们放入自己的气泡中。
为简单起见,开发通常是在单独的(组织)帐户上进行的,而开发人员应该提供部署脚本/过程以将资源部署到其他阶段(cloudformation,terraform等)。
。我从授予PowerUser开始。然后是SystemAdministrator
这是...开发人员不需要的东西。如果是这样,您可以实施SCP(服务控制策略)来限制甚至管理员用户(拒绝禁用cloudtrail,访问敏感kms,使用某些标签修改角色,.....)