允许无服务器部署到生产环境的 AWS 政策只针对特定 user/group
AWS policy to allow serverless deploy to production only to specific user/group
假设我没有为开发和生产使用多个帐户,我正在寻找限制生产部署的方法。
我的用例如下(我仍然不确定这是否可行,请帮助我)。我想在同一个帐户中创建多个用户,但只允许一个 user/group 执行 sls deploy -s prod 之类的命令,也许只允许 user/group 是唯一能够创建源名称 prod_{ name},例如,dynamo 表名称 prod_users.
这可能吗?还是将问题分开的唯一方法是合并账单和多个帐户?
谢谢!
默认情况下,用户没有任何权限,因此您必须明确允许他们在 AWS 上执行某些操作。
最简单的方法是转到 IAM 控制台并为允许执行所需操作的用户创建组。命名组后,IAM 控制台中的下一步是将策略附加到组。在那一步中,您可以选择 CloudFormation、EC2、RDS、ElasticBeanstalk 以及您希望它们访问的任何服务。对于每项服务,您可以选择更细粒度(读取、访问、管理……)。您可以从 AWS 预先设计的策略中进行选择,或者创建您自己的策略(如果它非常具体以致于现有策略未涵盖)。
我想进一步帮助您(即告诉您要包含哪些政策),但为此我需要了解您想要涵盖的特定类型的用户和服务。
此致,
假设我没有为开发和生产使用多个帐户,我正在寻找限制生产部署的方法。
我的用例如下(我仍然不确定这是否可行,请帮助我)。我想在同一个帐户中创建多个用户,但只允许一个 user/group 执行 sls deploy -s prod 之类的命令,也许只允许 user/group 是唯一能够创建源名称 prod_{ name},例如,dynamo 表名称 prod_users.
这可能吗?还是将问题分开的唯一方法是合并账单和多个帐户?
谢谢!
默认情况下,用户没有任何权限,因此您必须明确允许他们在 AWS 上执行某些操作。 最简单的方法是转到 IAM 控制台并为允许执行所需操作的用户创建组。命名组后,IAM 控制台中的下一步是将策略附加到组。在那一步中,您可以选择 CloudFormation、EC2、RDS、ElasticBeanstalk 以及您希望它们访问的任何服务。对于每项服务,您可以选择更细粒度(读取、访问、管理……)。您可以从 AWS 预先设计的策略中进行选择,或者创建您自己的策略(如果它非常具体以致于现有策略未涵盖)。 我想进一步帮助您(即告诉您要包含哪些政策),但为此我需要了解您想要涵盖的特定类型的用户和服务。 此致,