我正在学习使用aws-nuke删除我的组织 AWS 账户中的所有资源。我能够在我自己的组织中成功删除我的个人资源来管理核武器。想知道它是否适用于整个组织?假设我们有 2 个不同的组织。
请参阅上面的屏幕截图。
当我们有来自组织 B 的高级用户或系统管理员来管理组织中的培训帐户时,是否可以让 aws-nuke 在 2 个不同的组织中工作。这是该图的简化版本。
问问题
558 次
2 回答
4
我使用 aws-nuke 来管理我的 AWS 组织账户。假设您已经可以在 AWS 账户中的资源上运行aws-nuke ,那么您绝对可以使用跨账户角色来完成任务。您可以在 AWS 账户中执行的操作,除了少数 AWS 操作之外,您可以使用跨账户角色执行。唯一的问题是 AWS 跨组织角色必须获得太多权限,这是有风险的。AWS-nuke 文档说,这种 AWS-nuke 工具非常危险且具有破坏性!
通过 AWS Organization 链接 AWS 账户可以让您整合账单、使用服务控制策略等。它实际上并没有提供比跨账户角色更多的功能。您仍然需要使用这些,因为 SCP 实际上并未授予您 IAM 未授予您的权限。因此,要回答您的问题,您是否可以使用 AWS Organizations 来解决这个问题?
是的,如果您使用跨账户 AWS 角色。
你也可以和其他非会员一起做吗?
是的,具有跨账户角色。我在这里强调跨账户角色并重申,您可以在 AWS 账户中执行任何操作,除了少数操作之外,您可以使用跨账户角色执行。那是我的 2 美分将只是使用跨账户角色。
于 2020-12-14T02:06:39.290 回答
2
我可以联系到aws-nuke的作者并在此处打开一个讨论页面
您必须设置跨账户访问并为每个账户运行 aws-nuke 。
当我们有来自组织 B 的系统管理员来管理另一个组织(组织 A)中的培训帐户时,可以让 aws-nuke 跨 2 个不同的组织工作。
于 2020-12-15T16:16:19.560 回答