Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
AWS re:Postre:Post

如何按访问级别和环境分离组织用户权限?

0

【以下的问题经过翻译处理】 你好

我们有这样的情况:

  • 我们有几个组(dev,qa,admins等)
  • 我们有几个环境(dev,stgae,prod)
  • 我们只有一个AWS组织账户

问题是:如何通过env和permissions来分离所有用户?

我的意思是,例如,开发人员应该在dev和stage上具有所有访问权限,但在prod上不应具有任何权限。 qa的情况也是如此。 但管理员应该随处有访问权限。

我们打算使用switch role,但是我们所有的资源都混合在一起,如果我没有错的话,即使我们将此角色映射为只读权限,开发人员仍然可以访问prod资源,因此我们没有任何标记可以区分dev stage和prod。我想知道如何最佳实践如何做到这一点。我看到了一些文章,要分离环境,我们需要不同的AWS账户,但在我们的情况下,这是不可能的,因为我们需要对prod进行迁移,这不是一个好的方案。还有其他变体吗?

因此,请指导如何在一个单一的组织中分离这些环境,并为不同的组授予这些环境不同的权限?

谢谢。

Themen
Sicherheit, Identität & KonformitätAWS Framework mit guter StrukturManagement & Unternehmensführung
Tags
AWS Identity and Access ManagementSicherheitAWS KontoverwaltungIAM-Richtlinien
Sprache
中文 (简体)
profile picture
EXPERTE
rePost Polyglot
gefragt vor 5 Monaten26 Aufrufe
1 Antwort
0

【以下的回答经过翻译处理】 如果您不使用标记,如何区分开发、阶段和生产资源,如果所有资源都在一个帐户中?例如,如何知道哪些是开发EC2实例,哪些是生产EC2实例?您需要使用某种形式的标记,然后基于这些标记创建权限策略和角色。请参见https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/access_tags.html

我们还建议采用多账户策略,并将工作负载分离到不同的AWS账户中。这样,您使用AWS账户作为安全边界。例如,所有开发资源都进入开发帐户,并授予您的开发人员帐户权限,而不是单个资源。您可以使用以上基于标记的策略来进一步减少权限,遵循最小权限原则。请参见https://docs.aws.amazon.com/zh_cn/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html

profile picture
EXPERTE
rePost Polyglot
beantwortet vor 5 Monaten

Du bist nicht angemeldet. Anmelden um eine Antwort zu veröffentlichen.

Eine gute Antwort beantwortet die Frage klar, gibt konstruktives Feedback und fördert die berufliche Weiterentwicklung des Fragenstellers.

Richtlinien für die Beantwortung von Fragen

Relevanter Inhalt