Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 5
×

Как вы менеджите AWS ресурсы?

Підписуйтеся на Telegram-канал «DOU #tech», щоб не пропустити нові технічні статті

Столкнулся с проблемой менеджмента доступа и управления ресурсами в AWS.
В частности хотелось бы иметь контроль над тем кто и как создает ресурсы в AWS (нотификейшены, апрувы и прочее).

IAM роли не подходят поскольку они не позволяют настроить апрув флоу для создания ресурса.

В связи с этим вопрос: как вы управляете ресурсами в AWS? Разрешаете всем создавать ВМки или только выделенным людям, которым доверяете (департаментам и т.п.) Могут ли обычные разработчики создавать ресурсы в проде?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Все решается через IAM, но не роли, а Users/Groups/Permissions. Мы назначаем permissions на группы (можно как предопределенные так и кастомные) и потом добавляем пользователей в группы. Потом пользователь может выполнять разрешенные действия с разрешенными объектами либо через AWS CLI или AWS API (тогда ему нужно выдать API KEY/Secret) либо через AWS Web Console (тогда ему нужно выдать логин/пароль).

Кастомные политики / permissions достаточно гибкая вещь, есть примеры в доке по IAM. Можно например разрешить конкретному пользователю только доступ к его личному s3 bucket.

Если нужно какой-то workflow то из коробки этого нет конечно, но можно это написать например на SWF

aws.amazon.com/documentation/swf

и какой-то к нему frontend — админку.

Для инвентаризации / аудита можно использовать AWS Config

docs.aws.amazon.com/config

и CloudTrail

aws.amazon.com/...documentation/cloudtrail

Если задача стоит не назначать права только людям в вашей организации, а например написать приложение, в котором любой пользователь может создать учетную запись и потом пользоваться вашими ресурсами на AWS, и необходимо контролировать этот доступ, то это можно решить через Cognito.

Спасибо, дали пищу для размышлений!

как такових систем управления доступом к ресурсам готових для амазона AWS нет (не написали пока). IAM роли нужен немного для других целей. Популярние модели управления :
— один админ и все к нему за ресурсом спрашивают.
— Несколько аккаутнов для разних целей с бутжетирование аккаутов по организационним юнитам.
— Полу и автоматизирование системи создания ресурсов но с управление ограниченим количеством специалистов. Все могут написать шаблон клаудфронта и запушить в репозиторий но запустить его может только админ после согласования.

ЗІ но чаще всего нет ничего и полная анархия.

Да, видел такое решение, спасибо

Используйте Chef или Ansible. У Амазона отличный API.
Прокатить плейбук — несколько секунд.
Посадите на это кого-то или выделите пол часа своего времени. Создайте проект в джире с опр. Флоу и аппрувом от манагенра департамента в котором работает проситель.
Иначе потом довольно адово искать хозяев ничейных ВМ и выяснять кто создал ферму из xlarge вмок и её бросил запущенной без надобности.

Вот как раз этих проблем и хотелось бы избежать

Есть куча платных проектов для Амазона. Погуглите.

Конкретную исмплементацию посоветовать не можете?

Я просто закончил демократию.
Так что не могу...

Підписатись на коментарі