由于業務發展需要,B公司嘗試在AWS的單一賬戶上部署一些客戶應用程序。
需要運營人員為負責的開發人員設定好合適的權限,要求遵循最小化權限原則,執行不同作業的時候使用不同的權限,
且能夠實現讀寫角色分離,最大程度減少在AWS作業過程中可能會出現的誤操作。
在指定的單一賬戶中,創建不同的讀寫角色,對應不同的權限。
第一個角色用來瀏覽整個AWS賬號的資源和服務
第二個角色用來執行EC2和S3的創建、修改、刪除等操作
第三個角色用來查看EC2和S3資源和服務
本次采用AWS Console界面完成作業。
注意:根據項目的具體情況,可以采用不同的實施方法。比如使用命令行(CLI)部署、代碼部署(CloudFomation、Terraform等)、以及其它開發語言(SDK)完成作業。
1. 運營團隊聯系申請人,共同確定需求詳情。
■ 1.1 需要創建的IAM用戶的數量,對應IAM用戶名稱。
■ 1.2 需要創建的角色的數量,已經對應的權限。
■ 1.3 交付時間。
2. 運營團隊開始作業。
■ 2.1 檢查開發人員在AWS賬戶中存在IAM用戶,如果不存在,則創建該用戶。
■ 2.2 創建對應的三個IAM角色(分別設定信任實體和EC2、S3的權限)。
■ 2.3 創建三個IAM策略(指定sts權限)。
■ 2.4 創建三個不同的IAM用戶組,并且將創建的三個IAM策略分別附加到對應的IAM用戶組。
■ 2.5 將對應的IAM用戶分別加入相應的IAM用戶組。
3. 測試沒問題后,將創建的角色信息交付給申請人。