Amazon AWS. Миграция из Root Credentials в IAM Authentication

Question

Я не уверен, что это лучший способ сделать это. У меня много проектов, размещенных в Heroku, все эти проекты используют Amazon S3 для хранения статического файла. Все они получают доступ к ведрам, используя мои Root Credentials (это небезопасно, я хочу его изменить). Корневые учетные данные сохраняются в виде конфигурационных переменных в каждом приложении Heroku.

Я хотел бы прекратить использование Root Credentials и начать использовать Amazon IAM Auth. Я новичок в этом. Должен ли я создать User для каждого приложения? Или должен создать одного пользователя и позволить всем приложениям использовать эти учетные данные пользователя? Должен ли я создать Role и предоставить роли разрешения на ведра? Или, должен ли я создать Group?.

Любой совет поможет.

Answer 1

Вы должны создать уникальные учетные данные для каждого стороннего приложения, к которому вам нужно предоставить доступ. Таким образом, вы можете отменить доступ независимо. Кроме того, каждому приложению понадобятся разные разрешения. Наличие уникальных учетных данных для каждой службы позволяет вам точно распределять разрешения.

Если стороннее приложение (например, Heroku) поддерживает их, то создайте для них IAM-роль кросс-аккаунта.

1. Перейдите на страницу «Роли».
2. Нажмите «Создать новую роль».
3. Дайте роли имя.
4. В разделе «Роль для доступа к нескольким учетным записям» выберите «Разрешить пользователям IAM со сторонней учетной записи AWS для доступа к этой учетной записи».

Только если они не поддерживают роли IAM кросс-аккаунта, создайте пользователя IAM для службы и создайте ключ доступа для предоставления этой службе.

1. Перейдите на страницу «Пользователи».
2. Нажмите «Создать новых пользователей».

В обоих случаях предоставляются разрешения только на то, что им минимально необходимо. Никогда не предоставляйте сторонним пользователям права администратора, суперпользователя или всех прав. Избегайте звездочек «*», где это возможно.

1. Узнайте от сторонних, какие разрешения ему необходимы. В идеале это даст вам политику использования.
2. Просмотрите эту политику. Никогда не слепо доверяйте стороннему сервису.
3. Применить политику к созданной вами пользователю или роли.

Помните, вы предоставляете кому-то еще доступ для чтения и/или изменения вашей учетной записи AWS. Убедитесь, что вы также не даете им разрешения на его уничтожение.