Como obter acesso total para adicionar serviços no console da AWS

1

Eu preciso configurar o EC2, o RDS e o S3 na AWS para um projeto. O cliente quer que a conta esteja em seu nome e não quer compartilhar suas credenciais (compreensível). Meu objetivo é dar instruções ao meu cliente sobre como me conceder acesso para criar os serviços (EC2, RDS, S3) e depois trabalhar com eles.

Estou lendo a documentação do IAM, mas estou ficando um pouco perdido. Ao criar um novo usuário, vejo a lista de permissões com mais de 100 funções pré-configuradas, mas não sei de quais funções preciso. Eu vejo Network Administrator e outros como AmazonEC2FullAccess e esses parecem promissores. Eu estou hesitante porque eu não quero ir e voltar com o cliente, adivinhando quais funções eu preciso. Eu quero que seja um e feito.

Quais são as instruções para conceder acesso a um usuário para criar novos serviços e trabalhar com eles?

    
por Jeff 26.01.2017 / 15:20

2 respostas

2

Aqui está um resumo rápido

  1. Peça ao cliente que entre no IAM, selecione criar grupo e, em seguida, nomeie-o.

  • Forneçaaelesumalistadepolíticasaserematribuídasaogrupo.Eusugirooseguintecombasenasuapergunta

  • AmazonS3FullAccess

  • AmazonEC2FullAccess
  • AmazonRDSFullAccess

  • Peça-lhes para criar um usuário e atribuí-lo ao grupo
  • Oclientepodealteraraspolíticasassociadasaogrupoaqualquermomento,removendooacessocompletamenteoulimitandooacessoainstânciasespecíficas.

    OclientetambémdeveentraremcadausuárioegarantirqueoMFAsejanecessárioparaefetuarlogin-vocêprovavelmenteprecisaráestarpresenteparaessaparte.Bastaacertarolápisaoladode"Dispositivo de MFA Designado". Eles também devem gerar chaves de acesso para você - embora eu não tenha feito isso há algum tempo, talvez você tenha mais acesso para fazer isso sozinho.

        
    por 26.01.2017 / 20:08
    0
    O conceito de usuário federado

    pode ser usado neste cenário. O dono da conta tem que autenticar você usando algo como OpenID e dar ao seu usuário federado os direitos necessários para que você possa ter acesso aos seus recursos.

    nenhuma credencial será compartilhada, sua conta ganhará tokens temporários de segurança em segundo plano.

    Ou uma maneira mais fácil seria usar o IAM, o proprietário da conta criará um grupo e anexará políticas (para limitar o acesso com ec2, rds e s3) a esse grupo. então ele criará um usuário do AIM para você e adicionará esse usuário ao grupo.

    você poderá fazer login e ter acesso limitado, o que é definido na política.

        
    por 26.01.2017 / 15:49