Ich richte eine Disaster Recovery-Architektur für unsere AWS-Infrastruktur ein und modelliere alles auf Cloud-Bildung.Beschränken Sie eine AWS-Aktion, es sei denn, zwei Personen bestätigen dies. Ist es möglich?
Alle Entwickler verfügen über Berechtigungen für Hauptbenutzer für die Infrastruktur und nehmen häufig Änderungen an ihren Anforderungen vor. Das vermasselt natürlich meine Cloud-Formationsvorlage.
Gibt es eine Möglichkeit, eine Aktion einzuschränken [z. B. eine neue TCP-Regel in einer Sek-Gruppe hinzuzufügen], damit sie von einer anderen Person [mir] genehmigt werden muss, bevor sie wirksam wird?
Auf diese Weise konnte ich die Änderungen überwachen [die die Entwickler vergessen, mich zu benachrichtigen] und die Cloud-Formation-Vorlage wäre immer auf dem neuesten Stand und würde die wahre Sache darstellen.
Note1:
Ich habe einige Ereignisabonnements einrichten [für RDS für den Anfang] aber ich bin nicht sicher, ob sie die beste/Komplettlösung sind.
Note2:
Die Bestätigung für eine Aktion könnte für kritische Aktionen wie Ändern/Löschen/Beenden EC2 und/oder RDS-Instanzen nützlich sein.
Danke für die Antwort Vorsprung, aber direkten Zugriff für die Entwickler deaktivieren ist einfach keine Option. Ich würde mir wünschen, dass eine tragfähige Lösung so transparent wie möglich ist. Ich habe mich gefragt, ob es eine Option von Amazon gibt –
Ich glaube nicht, dass es eine Möglichkeit gibt, die Änderungen an einer Umgebung "ausstehende Genehmigung" zu machen - es ist nicht im Modell. Es gibt zwei Möglichkeiten, das Problem 1) wie oben beschrieben mit der Änderungskontrolle zu lösen. Es gibt AWS-Produkte, die dies können (möglicherweise Codepipe oder Opsworks). 2) die Änderungen über Cloudwatch oder die Verwendung von Cloudtrial melden - so würde die Änderung passieren, aber Sie würden post hoc informiert werden – Vorsprung