Создание группы администраторов с помощью консоли советует не предоставлять ключ доступа пользователю IAM, которого я создаю для себя, с намерением, я полагаю, предоставить минимум привилегий.
Однако, помимо того, что я «администратор», я также хочу быть разработчиком приложения Elastic Beanstalk. И как разработчику мне нужен ключ доступа к Развертывание в AWS Elastic Beanstalk с командой git aws.push.
Итак, как мне решить эту дилемму? Должен ли я просто создать двух отдельных пользователей IAM: одного для администрирования (mpasquale-admin) и один для разработки (mpasquale-dev)?
Есть несколько способов сделать это - я приведу пример, использующий свою установку.
Я всегда проверяю, что для учетной записи Root (учетной записи, которая настраивает учетную запись AWS) включена функция MFA, а токен или цифровая 2FA надежно хранятся.
После создания корня я настраиваю группу «Admin» и пользователя: mpasquale-admin и предоставляю этому пользователю полный доступ к AWS (с выставлением счетов или без / в зависимости от потребностей бизнеса).
Отсюда измените пароль своей учетной записи Root на что-то сложное и установите для политики паролей значение, отличное от значения по умолчанию - затем выйдите из Root и постарайтесь не использовать его, за исключением чрезвычайных ситуаций и т. Д.
Войдите в учетную запись администратора и создайте группу «Разработчик». Отсюда вам нужно прикрепить политику - ищите следующее: AWSElasticBeanStalkFullAccess
Прикрепите политику и создайте Группу. Добавьте разработчика в эту группу (например, mpasquale-dev). Предоставьте этому пользователю доступ к консоли, установите пароль и т. Д.
Находясь в IAM, снова нажмите «Пользователи», а затем прокрутите вниз до «Учетные данные безопасности». Нажмите «Управление ключами доступа» -> затем «Создать ключ доступа» (загрузите для последующего использования).
Теперь я предлагаю протестировать ваше приложение с помощью Elastic Beanstalk.
Отсюда, если вам нужно еще больше ограничить эту политику, вы можете редактировать политику, прикрепленную к группе разработчиков, и при необходимости уточнять ограничения ресурсов, пользователей, подсети и т. Д.
Я предлагаю также проверить следующее для получения дополнительной информации:
http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.iam.policies.html