amazon-web-services - 面向开发人员的 AWS IAM 访问权限(沙盒)
问题描述
我发现了一些讨论这个问题的文章/帖子,但没有明确的解决方案可以满足我的需求。
我的公司使用带有 SSO 的 AWS 登陆区。迄今为止,云团队一直在创建开发人员试验服务和创建概念验证所需的 IAM 角色/策略,但是,开发人员提出这太慢/限制性太强,并要求能够创建 IAM他们在发展账户中需要的政策/角色。我处于一个棘手的境地,既要保持 AWS 环境的完整性,又不妨碍开发人员的实验和创新。
有没有推荐的方法来管理这个?例如,我曾想过只允许传递前缀为“dev/”的角色,但这并没有解决创建新角色或策略的问题,开发人员可以允许 iam: /resource:。我还想提供一个与环境的其余部分(网络、本地 IAM 用户而不是 SSO)断开连接的新沙盒帐户,以减少任何开发人员错误配置的爆炸半径。与公司的唯一联系是计费合并在公司 AWS 组织下。
目前,已为开发人员分配了 PowerUser 访问权限以及一些关键的 IAM 操作,例如他们的开发帐户中的 PassRole。我们的大多数开发人员都是 AWS 新手,因此对于此沙盒帐户(而不是通过 CI/CD 管道),最好通过控制台进行管理。
任何建议表示赞赏!
谢谢,约翰
解决方案
推荐阅读
- python - 使用python对齐未对齐的列
- amazon-web-services - AWS Lambda 能否替换企业 Web 应用程序中的整个 Rest Api 层
- python - 如何有效地加载对于 RAM 来说太大的大型训练数据以在 tensorflow 中进行训练?
- mysql - 无法在 MYSQL godaddy 中获取 user_id 的 IS NULL 值
- javascript - 如何使用 JavaScript 对齐图像
- firebase - Firebase 托管在同一个项目中支持多少个域(不是子域)?
- mysql - 从工作台导出的 .csv 文件在 Mac 上以 textedit 文件格式保存
- node.js - 如何为反应前端创建和部署节点 js 博客 API 后端?
- javascript - 当 Chrome 仍在后台运行时,所有标签页都会关闭
- android - 嵌套在 CardView 中的 Android ImageView - 不显示圆角