Можно ли разделить ресурсы (экземпляры EC2, корзины S3 и т. Д.) По проектам и иметь отдельные разрешения для каждого проекта?
Таким образом, я могу предоставить права администратора проекта A пользователю A и права администратора проекта B пользователю B, но ни пользователь A, ни пользователь B не могут изменять или получать доступ к другому. Это довольно просто в Google Cloud Platform, и мне было интересно, то же самое в AWS.
Я фрилансер с несколькими клиентами. Было бы неплохо, если бы я мог войти в систему, используя свою электронную почту, и получить доступ ко всем ресурсам клиентов, но чтобы они могли получить доступ только к своим собственным.
Эти типы разрешений могут быть, однако, нет способа «скрыть» ресурсы, принадлежащие одному клиенту, от другого клиента.
Таким образом, хотя клиент A может входить в систему и взаимодействовать только со своими ресурсами, он по-прежнему будет «видеть» ресурсы клиента B.
Кроме того, невозможно фактически разделить счет. Вы можете увидеть разбивку счета с помощью тегов ресурсов, но это будет только один счет. Вы будете нести ответственность за оплату этого счета и возмещение соответствующих расходов от ваших клиентов.
С другой стороны, вы можете использовать несколько учетных записей AWS. Например, по одному на каждого из ваших клиентов.
Это дает много преимуществ:
В каждой учетной записи AWS вы можете создать себе собственного «администратора», чтобы управлять учетной записью.
Обновить:
Если вы готовы оплатить счет и получить деньги от своих клиентов, вы можете использовать AWS «Организации». Все отдельные учетные записи AWS могут быть объединены в общую учетную запись AWS.
Да, в AWS это легко сделать. Это может быть немного сложно, поскольку вам иногда приходится писать политики, но есть множество примеров и руководств.
Посмотрите документацию для AWS Управление идентификацией и доступом (Я). Это позволяет предоставлять конкретным пользователям доступ к определенным ресурсам на очень мелком уровне. Вы используете группы и политики, чтобы определить, кто и к каким ресурсам имеет доступ.
Роли IAM позволяют при входе в свою учетную запись получать доступ к ресурсам в других учетных записях. По сути, учетная запись устанавливает доверительные отношения с вашей учетной записью, и вы можете взять на себя роль для управления этой учетной записью. Это немного неудобно, но работает нормально.
Я не могу указать всю необходимую информацию в этом ответе, он слишком длинный. Документация AWS отличная, множество руководств.
Кстати, если вы управляете несколькими учетными записями AWS клиентов, я предлагаю вам использовать что-то вроде Linux Academy или Облачный гуру для подготовки как минимум к экзамену специалиста по архитектуре решений AWS. Все это покрыто, и профессионал идет еще дальше. Квалификация хорошая, но главное - иметь знания.
Обновленный вопрос о выставлении счетов
Если вы хотите, чтобы клиент оплачивал счет напрямую, вы должны поместить каждого клиента на его собственный счет. Обычно это означает создание AMI, создание нового экземпляра в новой учетной записи, затем изменение DNS и т. Д.
Если вы выставляете счет клиенту от имени, вы можете использовать теги распределения затрат разработать биллинг для каждого клиента.
Несколько учетных записей для каждого клиента, основная учетная запись для выставления счетов, в которой также есть ваша учетная запись IAM, между которой вы переключаетесь. И настройте организацию для управления пользователями IAM в других учетных записях.
https://aws.amazon.com/blogs/aws/new-cross-account-access-in-the-aws-management-console/