4

我们正在尝试在我们的 EC2 云中进行一些需要使用某些 API 调用(创建/删除卷、启动/停止实例等)的开发。阅读 Amazon 的文档后,我发现虽然我可以与不同的 AWS 账户共享实例级访问权限,但我对在 IAM 中创建的用户没有精细的访问控制;如果我给他们一个 Destroy 权限,它将适用于全球。

我的问题是,其他人是如何处理这个问题的?我反对在我们的生产环境中将全局销毁权授予任何正在开发的软件,而且加倍如此,因为这些是合同开发人员。同时,我什至对在全球范围内拥有这些权利的生产程序也持谨慎态度,因为这似乎是不好的做法,而且代码本身就不安全。

人们是否找到了任何解决方法?

4

1 回答 1

1

只是为了澄清。您正在尝试控制用户可以开始停止哪些实例以及用户可以使用 IAM 配置文件创建和删除哪些卷?

如果这实际上是您要问的,那么答案很简单。您不能为实例或卷制定任何规则,所有 EC2 命令都是全局的。根据您想要的帐户数量,您可以为每个客户创建一个新帐户,并使用合并计费将它们全部链接起来。

如果您想控制哪些用户可以访问哪些实例/卷,您需要开发某种他们将使用的代理服务,而不是亚马逊服务。虽然这并不一定保证它会更安全。

于 2012-07-25T19:04:38.443 回答