Дать разрешения только одному экземпляру EC2?

У меня есть несколько экземпляров EC2 в моей учетной записи AWS Amazon. У меня есть один конкретный экземпляр EC2, который я хочу, чтобы аутсорсер использовал (остановка, запуск, управление группой безопасности, изменение размера дискового пространства и т. д.).

Я пытался сделать это с помощью политик IAM, но, насколько я вижу, DescribeInstances позволяет пользователю видеть все экземпляры в моей учетной записи. И когда я пытаюсь отредактировать политику для определенного ресурса, он показывает ошибку, потому что DescribeInstances не является политикой уровня ресурса, поэтому он должен иметь ресурс «*».

Я подумал, может быть, разрешить ему доступ к другому региону и поставить экземпляр там. Другой вариант — использование организаций (немного сложно, но выглядит многообещающе, буду рад понять, подходит ли это).

Я что-то упускаю? Какое лучшее решение для достижения того, что мне нужно?


amazon-web-services amazon-ec2 aws-organizations aws-iam
person justadev    schedule 20.08.2018    source источник

Ответы (1)


arrow_upward
7
arrow_downward

Если вы хотите предоставить аутсорсеру разрешение на вызов сервисов AWS в вашем аккаунте, то с точки зрения безопасности будет гораздо безопаснее поместить эти ресурсы в дочерний аккаунт.

Таким образом, вам гарантируется, что их учетные данные не смогут повлиять на какие-либо другие ваши ресурсы и службы.

Альтернатива была бы слишком сложной для управления. Например, группы безопасности могут быть связаны со многими экземплярами, а один экземпляр может иметь много групп безопасности. Это было бы невозможно закодировать в политике IAM.

person John Rotenstein    schedule 20.08.2018
comment
просто для подтверждения: с дочерней учетной записью вы имеете в виду использовать организации? - person justadev; 20.08.2018
comment
Я настоятельно рекомендую решение Джона. ИМХО у каждого должно быть как минимум два аккаунта в AWS. Один счет для производственных ресурсов. Еще один аккаунт для тестирования и разработки. При работе с внешними ресурсами используйте третью учетную запись. Мы даже используем отдельные аккаунты для сотрудников (разработчиков). 10 лет назад мы этого не делали, и у нас было много несчастных случаев с удалением неправильных ресурсов, изменением неправильных ресурсов и т. д. Простое упрощение выставления счетов и распределения ресурсов оправдывает использование нескольких учетных записей. - person John Hanley; 20.08.2018
comment
Да, под дочерней учетной записью я подразумеваю отдельную учетную запись в AWS Organizations. Традиционно учетные записи были иерархическими (отсюда и «дочерняя учетная запись»), но организации называют их учетными записями участников. - person John Rotenstein; 21.08.2018