如何按访问级别和环境分离组织用户权限?
【以下的问题经过翻译处理】 你好
我们有这样的情况:
- 我们有几个组(dev,qa,admins等)
- 我们有几个环境(dev,stgae,prod)
- 我们只有一个AWS组织账户
问题是:如何通过env和permissions来分离所有用户?
我的意思是,例如,开发人员应该在dev和stage上具有所有访问权限,但在prod上不应具有任何权限。 qa的情况也是如此。 但管理员应该随处有访问权限。
我们打算使用switch role,但是我们所有的资源都混合在一起,如果我没有错的话,即使我们将此角色映射为只读权限,开发人员仍然可以访问prod资源,因此我们没有任何标记可以区分dev stage和prod。我想知道如何最佳实践如何做到这一点。我看到了一些文章,要分离环境,我们需要不同的AWS账户,但在我们的情况下,这是不可能的,因为我们需要对prod进行迁移,这不是一个好的方案。还有其他变体吗?
因此,请指导如何在一个单一的组织中分离这些环境,并为不同的组授予这些环境不同的权限?
谢谢。
- 最新
- 投票最多
- 评论最多
【以下的回答经过翻译处理】 如果您不使用标记,如何区分开发、阶段和生产资源,如果所有资源都在一个帐户中?例如,如何知道哪些是开发EC2实例,哪些是生产EC2实例?您需要使用某种形式的标记,然后基于这些标记创建权限策略和角色。请参见https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/access_tags.html
我们还建议采用多账户策略,并将工作负载分离到不同的AWS账户中。这样,您使用AWS账户作为安全边界。例如,所有开发资源都进入开发帐户,并授予您的开发人员帐户权限,而不是单个资源。您可以使用以上基于标记的策略来进一步减少权限,遵循最小权限原则。请参见https://docs.aws.amazon.com/zh_cn/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html
相关内容
AWS 官方已更新 2 年前