Назад | Перейти на главную страницу

Как получить полный доступ для добавления сервисов в консоли AWS

Мне нужно настроить EC2, RDS и S3 на AWS для проекта. Клиент хочет, чтобы учетная запись была на его имя, и они не хотят делиться своими учетными данными (понятно). Моя цель - дать моему клиенту инструкции о том, как предоставить мне доступ для создания сервисов (EC2, RDS, S3), а затем работать с ними.

Я читаю документацию по IAM, но немного теряюсь. При создании нового пользователя я вижу список разрешений с более чем 100 предварительно настроенными ролями, но я не знаю, какие роли мне нужны. я вижу Network Administratorи другие подобные AmazonEC2FullAccess и они кажутся многообещающими. Я колеблюсь, потому что не хочу возвращаться к клиенту и угадывать, какие роли мне нужны. Я хочу, чтобы все было готово.

Каковы инструкции по предоставлению пользователю доступа для создания новых сервисов и работы с ними?

Вот краткое описание

  1. Попросите клиента войти в IAM и выбрать создать группу, а затем дать ей имя.

  • Дайте им список политик для назначения группе. Я предлагаю следующее, исходя из вашего вопроса

  • AmazonS3FullAccess

  • AmazonEC2FullAccess
  • AmazonRDSFullAccess

  1. Попросите их создать пользователя и назначить его группе.

Клиент может изменить политики, связанные с группой, в любое время, полностью удалив доступ или ограничив доступ к определенным экземплярам.

Заказчик также должен войти в каждого пользователя и убедиться, что MFA требуется для входа в систему - вам, вероятно, придется присутствовать для этой части. Просто нажмите карандаш рядом с «Назначенное устройство MFA». Они также должны сгенерировать для вас ключи доступа - хотя я давно этого не делал, возможно, вам лучше предоставить доступ, чтобы сделать это самому.

В этом сценарии можно использовать концепцию федеративного пользователя. Владелец учетной записи должен аутентифицировать вас, используя что-то вроде OpenID, и предоставить вашему федеративному пользователю необходимые права, чтобы вы могли получить доступ к его ресурсам.

никакие учетные данные не будут переданы, ваша учетная запись получит временные токены безопасности в фоновом режиме.

Или более простой способ - использовать IAM, владелец учетной записи создаст группу и присоединит политики (для ограничения доступа с помощью ec2, rds и s3) к этой группе. затем он создаст для вас пользователя AIM и добавит этого пользователя в группу.

вы сможете войти в систему и иметь ограниченный доступ, который определен в политике.