动手实验 | AWS单账户中使用IAM角色


  项目需求

由于业务发展需要,B公司尝试在AWS的单一账户上部署一些客户应用程序。 需要运营人员为负责的开发人员设定好合适的权限,要求遵循最小化权限原则,执行不同作业的时候使用不同的权限, 且能够实现读写角色分离,最大程度减少在AWS作业过程中可能会出现的误操作。

  解决方案

在指定的单一账户中,创建不同的读写角色,对应不同的权限。
第一个角色用来浏览整个AWS账号的资源和服务
第二个角色用来执行EC2和S3的创建、修改、删除等操作
第三个角色用来查看EC2和S3资源和服务

  作业步骤

本次采用AWS Console界面完成作业。 注意:根据项目的具体情况,可以采用不同的实施方法。比如使用命令行(CLI)部署、代码部署(CloudFomation、Terraform等)、以及其它开发语言(SDK)完成作业。

1. 运营团队联系申请人,共同确定需求详情。
■ 1.1 需要创建的IAM用户的数量,对应IAM用户名称。
■ 1.2 需要创建的角色的数量,已经对应的权限。
■ 1.3 交付时间。

2. 运营团队开始作业。
■ 2.1 检查开发人员在AWS账户中存在IAM用户,如果不存在,则创建该用户。
■ 2.2 创建对应的三个IAM角色(分别设定信任实体和EC2、S3的权限)。
■ 2.3 创建三个IAM策略(指定sts权限)。
■ 2.4 创建三个不同的IAM用户组,并且将创建的三个IAM策略分别附加到对应的IAM用户组。
■ 2.5 将对应的IAM用户分别加入相应的IAM用户组。

3. 测试没问题后,将创建的角色信息交付给申请人。