亚马逊AWS。从根凭证迁移到 IAM 身份验证
Amazon AWS. Migrating from Root Credentials to IAM Authentication
我不确定哪种方法最好。我在 Heroku 中托管了很多项目,所有这些项目都使用 Amazon S3 进行静态文件存储。他们都使用我的根凭证访问存储桶(这不安全,我想更改它)。 Root Credentials 在每个 Heroku 应用程序中存储为配置变量。
我想停止使用 Root Credentials 并开始使用 Amazon IAM Auth。我对此很陌生。我应该为每个应用创建一个 User 吗?或者应该创建一个用户并让所有应用程序使用该用户凭据?我应该创建一个 Role 并赋予角色对存储桶的权限吗?或者,我应该创建一个 Group?.
任何建议都会有所帮助。
您应该为需要授予访问权限的每个第三方应用程序创建一个唯一的凭据。这样,您可以独立撤销访问权限。此外,每个应用程序将需要不同的权限。为每项服务提供唯一的凭据可以让您细化权限。
如果第三方应用程序(例如Heroku)支持它们,那么创建一个跨账户IAM角色给它们。
- 转到 "Roles" 页面。
- 点击"Create New Role"。
- 为角色命名。
- 下 "Role for Cross-Account Access"、select "Allows IAM users from a 3rd party AWS account to access this account"。
仅当他们不支持跨账户 IAM 角色时,为服务创建 IAM 用户并创建访问密钥以提供给该服务。
- 转到"Users"页面。
- 点击"Create New Users"。
在这两种情况下,只授予他们最低限度需要的权限。 切勿将管理员、超级用户或所有权限授予第三方。 尽可能避免使用星号“*”。
- 从第三方了解需要什么权限。理想情况下,它会给你一个使用的策略。
- 查看该政策。切勿盲目信任第三方服务。
- 将策略应用于您创建的用户或角色。
请记住,您是在授予其他人读取 and/or 修改您的 AWS 帐户的权限。确保您没有同时授予他们销毁它的权限。
我不确定哪种方法最好。我在 Heroku 中托管了很多项目,所有这些项目都使用 Amazon S3 进行静态文件存储。他们都使用我的根凭证访问存储桶(这不安全,我想更改它)。 Root Credentials 在每个 Heroku 应用程序中存储为配置变量。
我想停止使用 Root Credentials 并开始使用 Amazon IAM Auth。我对此很陌生。我应该为每个应用创建一个 User 吗?或者应该创建一个用户并让所有应用程序使用该用户凭据?我应该创建一个 Role 并赋予角色对存储桶的权限吗?或者,我应该创建一个 Group?.
任何建议都会有所帮助。
您应该为需要授予访问权限的每个第三方应用程序创建一个唯一的凭据。这样,您可以独立撤销访问权限。此外,每个应用程序将需要不同的权限。为每项服务提供唯一的凭据可以让您细化权限。
如果第三方应用程序(例如Heroku)支持它们,那么创建一个跨账户IAM角色给它们。
- 转到 "Roles" 页面。
- 点击"Create New Role"。
- 为角色命名。
- 下 "Role for Cross-Account Access"、select "Allows IAM users from a 3rd party AWS account to access this account"。
仅当他们不支持跨账户 IAM 角色时,为服务创建 IAM 用户并创建访问密钥以提供给该服务。
- 转到"Users"页面。
- 点击"Create New Users"。
在这两种情况下,只授予他们最低限度需要的权限。 切勿将管理员、超级用户或所有权限授予第三方。 尽可能避免使用星号“*”。
- 从第三方了解需要什么权限。理想情况下,它会给你一个使用的策略。
- 查看该政策。切勿盲目信任第三方服务。
- 将策略应用于您创建的用户或角色。
请记住,您是在授予其他人读取 and/or 修改您的 AWS 帐户的权限。确保您没有同时授予他们销毁它的权限。