0

我正在使用 Elastic Beanstalk 以及自动创建一些环境资源(如 SQS 队列)的新功能。这真的很方便,但是这有一个问题:如果我“终止”环境,所有相关的资源也会被删除。

我觉得这真的很危险,虽然我是唯一一个管理这个帐户的人,但我总是会喝醉(哈哈),或者在 CLI 中输入错误的命令,或者,当然,有人可能会窃取我的帐户。

可能是我有点偏执,但到目前为止我已经找到了一些策略,我想知道哪个是最好的:

1) 给自己新建一个IAM只读用户,并为主账户(master)设置双因素认证,这样如果我需要创建资源,绝对需要用更好的登录主账户安全。

2) 防止 Beanstalk 创建的主 EC2 实例终止。如果我这样做了,我就不能再错误地终止 Beanstalk 环境了。我的问题是:弹性负载均衡器的优点之一是它可以关闭不健康的实例并启动新实例。但是,如果将一个实例设置为“不允许终止”会怎样?负载均衡器可以绕过这个并仍然创建一个新实例吗?

3)两者都做?

通常,关于这个主题的最佳实践是什么?

感谢您的回答!

4

1 回答 1

2

不幸的是,SQS 队列不支持终止保护。

在您的两个选项中,我肯定会选择 1),因为 2) 不能完全保护 EB 集群不被删除。

解释:

1) 我建议为日常任务设置一个单独的 IAM 用户,并使用双重身份验证保护主账户,并使用它来启动/关闭新的 EB 集群。

2) 即使您使用终止保护保护主要 EC2 实例,与 EB 环境相关的其他关键资源仍将被终止,例如负载均衡器、自动扩展组和 SNS 主题。

我认为最简单的解决方案仍然是遵循“两次瞄准,一次射击”的理念,尽管一个 IAM 帐户的政策不允许它终止实例、EB 环境、删除 EB 应用程序等将是您的在暂时的精神错乱的时刻对自己进行可靠的保护。

希望这会有所帮助!

于 2013-05-08T18:28:13.070 回答