0

我正在尝试使用 Spinnaker 烘焙 AMI 并将其部署到 AWS Auto Scaling Group。问题是,实例需要太多权限。如Spinnaker 博客文章中所述(即“在当今世界,让工具完全访问您的环境通常被视为不好的做法”),我想知道是否有办法限制 Spinnaker 实例权限,但仍允许用户将他们的应用程序部署到他们自己的集群中,例如,如果他们在 AWS 中被授权这样做。

当然,文档说您可以限制对应用程序的访问,但这是否足够?应用程序 A 的成员能否以某种方式(例如在管道阶段)利用 Spinnaker 的权限调用 AWS API?(因此能够修改应用程序 B 的集群)。假设已禁用对 Spinnaker 实例的 SSH 访问

4

1 回答 1

0

正确设置授权后,如果应用程序 A 的成员没有权限,他们应该无法修改应用程序 B(请参见此处)。此防护位于 Spinnaker 应用程序级别,而不是云提供商 (EC2) 平台级别。

Spinnaker 是使用“上帝模式”凭据构建的——因此实际上相同的凭据被用于操作应用程序 A 和 B 的云资源。

于 2017-10-11T17:48:32.460 回答