面向开发人员的 AWS IAM 访问(沙盒)
AWS IAM Access for Developers (Sandbox)
我找到了一些 articles/post 讨论这个问题,但没有确定的解决方案可以满足我的需要。
我的公司使用带有 SSO 的 AWS Landing Zone。迄今为止,云团队一直在创建开发人员试验服务和创建概念验证所需的 IAM roles/policies,但是,开发人员提出这太过 slow/restrictive 并要求能够在他们的开发帐户中创建他们需要的 IAM policies/roles。我处于一种棘手的情况,既要保持我们 AWS 环境的完整性,又要不阻碍开发人员的实验和创新。
是否有推荐的管理方法?例如,我曾想过只允许传递以“dev/”路径为前缀的角色,但这并没有解决创建新角色或策略的问题,开发人员可以允许 iam:/resource:.我还想提供一个与环境的其余部分(网络、本地 IAM 用户而不是 SSO)断开连接的新沙箱帐户,以减少任何开发人员错误配置的影响范围。与公司唯一的联系是账单在公司 AWS 组织下合并。
目前,已为开发人员分配了 PowerUser 访问权限以及一些关键的 IAM 操作,例如他们的开发帐户中的 PassRole。我们的大多数开发人员都是 AWS 的新手,因此通过控制台管理此沙盒帐户更可取(而不是通过 CI/CD 管道)。
感谢任何建议!
谢谢,
约翰
关于我公司如何解决您的部分问题的一些提示(该公司是一家拥有亚马逊专门架构支持的企业。我不知道他们是否严格遵循亚马逊的建议,所以请记住这一点)
- 所有用户都在中央公司帐户中创建管理没有权限,所有账单委托给特定的账单账户。
- 然后所有用户都必须在各自的工作帐户(Developer@SalesAccount 或 Manager@MarketingAccount)中担任该角色
- Permission boundaries设置为防止IAM用户授予权限超过自己的权限级别
- SCP 在适当的地方应用
我找到了一些 articles/post 讨论这个问题,但没有确定的解决方案可以满足我的需要。
我的公司使用带有 SSO 的 AWS Landing Zone。迄今为止,云团队一直在创建开发人员试验服务和创建概念验证所需的 IAM roles/policies,但是,开发人员提出这太过 slow/restrictive 并要求能够在他们的开发帐户中创建他们需要的 IAM policies/roles。我处于一种棘手的情况,既要保持我们 AWS 环境的完整性,又要不阻碍开发人员的实验和创新。
是否有推荐的管理方法?例如,我曾想过只允许传递以“dev/”路径为前缀的角色,但这并没有解决创建新角色或策略的问题,开发人员可以允许 iam:/resource:.我还想提供一个与环境的其余部分(网络、本地 IAM 用户而不是 SSO)断开连接的新沙箱帐户,以减少任何开发人员错误配置的影响范围。与公司唯一的联系是账单在公司 AWS 组织下合并。
目前,已为开发人员分配了 PowerUser 访问权限以及一些关键的 IAM 操作,例如他们的开发帐户中的 PassRole。我们的大多数开发人员都是 AWS 的新手,因此通过控制台管理此沙盒帐户更可取(而不是通过 CI/CD 管道)。
感谢任何建议!
谢谢, 约翰
关于我公司如何解决您的部分问题的一些提示(该公司是一家拥有亚马逊专门架构支持的企业。我不知道他们是否严格遵循亚马逊的建议,所以请记住这一点)
- 所有用户都在中央公司帐户中创建管理没有权限,所有账单委托给特定的账单账户。
- 然后所有用户都必须在各自的工作帐户(Developer@SalesAccount 或 Manager@MarketingAccount)中担任该角色
- Permission boundaries设置为防止IAM用户授予权限超过自己的权限级别
- SCP 在适当的地方应用