Usuários isolados de IAM na AWS

1

Eu tenho uma conta root e desejo criar três usuários do IAM, um para cada aplicativo: iamapp1, iamapp2 e iamapp3. Eu quero que eles tenham acesso total aos recursos ec2, ou seja, listando, iniciando e configurando instâncias ec2, de forma que as instâncias ec2 fornecidas por iamapp1 sejam completamente isoladas das instâncias fornecidas por iamapp2 e iamapp3, mas a conta root ainda deve ver tudo . Alguém sabe se isso é possível?

    
por Simon Ernesto Cardenas Zarate 23.11.2017 / 21:49

1 resposta

3

Para o seu cenário, recomendo criar contas da AWS separadas para cada usuário.

No entanto, você pode realizar seu objetivo usando tags e políticas em uma única conta.

  1. Crie uma função do Lambda que marca automaticamente os recursos do EC2 criados por cada usuário com sua identidade. Isso fornecerá a chave mágica que suas políticas podem usar para controlar o acesso.
  2. Crie uma política de recursos baseada em tags para cada usuário. Isso impedirá que os usuários acessem recursos que não estejam marcados com sua identidade de usuário.

Este link mostra como fazer tudo. Inclui alguns gráficos agradáveis que mostram como tudo funciona.

Marcar automaticamente Recurso do EC2

    
por 23.11.2017 / 23:56