3

预期结果:在听到许多恶意用户获得 AWS 账户访问权限并清除资源的恐怖故事后,我有兴趣创建一个系统,该系统可以将 RDS 快照和 EC2 AMI/卷复制到一个完全独立的 AWS 账户以用作“时间胶囊”或“冰冷恢复”站点。

安全基础知识:我为所有现有账户使用带有 MFA 的 IAM,并根据访问需求限制谁可以做什么。大多数用户对所有内容都有只读访问权限,少数是高级用户。我们从不使用 root 帐户。

初步发现:由于没有将 AMI 或快照复制到另一个帐户的本地方法,我目前的理解是我需要使用我们当前的帐户来允许“保险库”帐户访问 AMI/快照,然后使用vault 帐户从 AMI/SS 启动实例/数据库,然后制作实例/数据库的另一个 AMI/SS,以便在另一个帐户中制作完整副本。

问题:

  1. 这是愚蠢的吗?
  2. 有没有更好的办法?
  3. 是否有人知道可以通过简单方式实现此目的的服务或脚本解决方案?

我确信有足够的时间我可以使用 SDK 并做一些这样的事情,但我很愿意自己不编码。

4

1 回答 1

1

您是正确的,无法将 Amazon 系统映像 (AMI) 复制到另一个 AWS 账户。

共享 AMI 然后从另一个账户启动实例的方法是制作 AMI 副本的一种方法(尽管不是完美的副本,因为它将在启动新实例时使用)。

另一个想法是:

  • 与其他账户共享 AMI 底层的快照(AMI 实际上是持久化在快照中)

然后,在另一个帐户中:

  • 将快照复制到其他帐户,或者
  • 从快照创建一个新卷,或者
  • 从快照注册 AMI

所有选项都将复制另一个账户中的数据,作为快照、卷或 AMI。

请参阅:操作方法:在账户之间复制 EC2 EBS AMI

于 2015-01-12T02:45:41.877 回答