4

特定のAPI呼び出し(ボリュームの作成/削除、インスタンスの開始/停止など)の使用を必要とするEC2クラウド内でいくつかの開発を行おうとしています。Amazonのドキュメントを読んだ後、インスタンスレベルのアクセスを別のAWSアカウントと共有することはできますが、IAMで作成されたユーザーとのきめ細かいアクセス制御がないことがわかりました。私が彼らに破壊権を与えると、それは世界的に適用されます。

私の質問は、他の人がこの問題にどのように対処したかということです。私は、開発中のソフトウェアに本番環境でグローバルな破壊権を与えることに反対しています。これらは契約開発者であるため、二重にそうです。同時に、私は、プロダクションプログラムでさえ、それらの権利をグローバルに持つことにも警戒しています。なぜなら、それは悪い習慣であり、本質的に安全でないコードであるように思われるからです。

人々が見つけた何らかの回避策はありますか?

4

1 に答える 1

1

明確にするために。ユーザーが停止できるインスタンスと、ユーザーが IAM プロファイルを使用して作成および削除できるボリュームを制御しようとしていますか?

それが実際にあなたが求めていることなら、答えは簡単です。インスタンスまたはボリュームに対してルールを作成することはできません。すべての EC2 コマンドはグローバルです。必要なアカウントの数に応じて、クライアントごとに新しいアカウントを作成し、一括請求を使用してすべてをリンクできます。

どのユーザーがどのインスタンス/ボリュームにアクセスできるかを制御したい場合は、Amazon サービスの代わりに使用する何らかのプロキシ サービスを開発する必要があります。ただし、それが必ずしもより安全であることを保証するものではありません。

于 2012-07-25T19:04:38.443 に答える