yke*_*esh 4 amazon-web-services amazon-iam
我希望在 AWS 中拥有不同的环境。起初我想到通过标签来区分环境,AWS资源上的标签。但是我无法限制用户更改机器的标签。这意味着,如果我允许他们ec2:CreateTags,他们不仅可以创建标签,还可以更改任何资源的标签,因为无法对其应用条件 - 例如,如果它属于特定的 VPC 或子网。如果我不允许他们创建标签的权限,那么他们可以启动实例,但不会应用他们的标签,因此不允许对实例进行任何进一步的操作。
如果我想通过VPC-ID区分环境,那么对于诸如ec2:StartInstance无法应用条件仅允许在特定VPC-ID中进行操作之类的操作,但可以基于资源标签有条件地允许,由于上一段的原因,这并不令人信服。
在 AWS文档中提到
使用 AWS 访问凭证中讨论了维持这种分离的一种方法,即对开发和生产资源使用不同的账户。
那么,一个支付账户可以用于其他几个本身也是支付账户的账户吗?我仍然认为针对不同环境的多个帐户不是一个好主意。
您通常如何区分执行政策的环境?
谢谢。
小智 6
不同的帐户是要走的路。您想要在很多地方创建隔离,如果在一个帐户中尝试这样做,您会发疯的。想一想 - 有网络控制、所有服务的所有 IAM 权限、访问控制列表、具有您所描述的限制的标签等等。真正的隔离来自于现在将事物放在不同的帐户中。
您最不想看到的就是您的开发环境中的一些弱点转向您的生产环境 - 故事结束。还要考虑分离产品和开发帐户的生产力优势……您永远不会因开发中的错误或实验而破坏产品系统。
合并账单是支付全部费用的答案。易于设置和跟踪。如果您需要更多报告,请查看 CloudAbility。
真正有趣的地方是在多个生产和多个开发环境的空间中。那里有很多关于隔离的意见。有些人将所有 prod 和 dev 合并到两个帐户中,有些人将每个 prod 和 dev 放入自己的帐户中。这完全取决于您的风险状况。只是不要像 CloudSpaces 那样结束。
| 归档时间: |
|
| 查看次数: |
3449 次 |
| 最近记录: |