IAM-Rolle vs Benutzer - Best Practices

Question

Ich gebe Unterstützung für 10 Entwickler. Diese Entwickler sind getrennt in welchen Ruftrupps und Stämmen (wie Spotify). Daher benötigt jeder Stamm (entspricht einer Gruppe von Benutzern, die häufig verwendete Aufgaben teilen) eine Reihe von Berechtigungen für AWS-Ressourcen. Wenn ein Entwickler eine Anwendung bereitstellt, z. in einer Ec2-Instanz übernimmt es eine Rolle der ec2-Instanz. Wenn der Entwickler die Anwendung mit seiner Entwicklungsmaschine testet und entwickelt, benötigt er Zugriff auf aws-Ressourcen wie die ec2-Instanz. Was ist der richtige Ansatz: Erteilen Sie diesem Entwickler die Erlaubnis wie ein Benutzer oder eine Gruppe oder lassen Sie ihn eine Rolle wie die ec2-Instanz übernehmen?

Answer 1

Wenn die Entwickler lokal entwickeln, können sie nur IAM-Benutzer-/Gruppenberechtigungen verwenden. Sie können keine Rolle übernehmen, da sie sich nicht auf einer EC2-Instanz befinden. Also sagen wir, sie gehören alle zu einer IAM-Gruppe namens Developer.

Für die Gruppe "Entwickler" gewähren Sie ihnen den Satz von verwalteten oder benutzerdefinierten Richtlinien, die sie für die Entwicklung benötigen. Nehmen wir an, sie haben IAM-Richtlinien p1, p2, p3, und das gibt ihnen Zugriff auf die Testressourcen, die sie benötigen.

Für die Bereitstellung in einer Test- oder Entwicklungsumgebung in AWS stellen Sie jeder Instanz eine Rolle zur Verfügung, z. B. AppServer. Der AppServer-Rolle/dem Profil können auch die gleichen IAM-Richtlinien p1, p2, p3 zugeordnet sein.

Auf diese Weise haben Ihre lokalen Entwickler die gleichen Richtlinien wie Ihre Instanzen bei der Bereitstellung.