Die Frage ist: Kann ich als Drittanbieter meine Software im AWS-Konto eines Kunden bereitstellen und ihm keinen Zugriff auf die Ressourcen gewähren, die für ihn bereitgestellt werden müssen? Kann ich beispielsweise eine bestimmte Anzahl von EC2-Instanzen bereitstellen und ihm keinen Zugriff gewähren?
Die Frage ergibt sich aus dem Wunsch, unser geistiges Eigentum vor der Weitergabe zu schützen, indem der Quellcode für den Kunden leicht lesbar ist. Abgesehen von Lizenzvereinbarungen besteht also die Möglichkeit, dass geistiges Eigentum kompromittiert wird, was in dieser Phase des Geschäftslebens sehr kommerziell schädlich sein könnte.
Ich habe Fragen zu verwandten Themen sowie die AWS-Dokumentation durchforstet, sehe aber ehrlich gesagt keinen klaren Weg nach vorne.
Ich wäre für alle Gedanken sehr dankbar.
Antwort1
Nein, der Administrator des AWS-Kontos hat vollen Zugriff. Selbst wenn er Ihnen über IAM alleinigen Zugriff auf das Konto gewährt, kann er dies jederzeit widerrufen.
Ich nehme an, Ihr Code ist in einer Sprache wie PHP? Sie könnten es mit einem Obfuscater versuchen, der einen gewissen Schutz bietet, aber nicht viel. Sie könnten eine Art Konvertierung versuchen, die PHP in eine Sprache ändert, die kompiliert werden kann.
Die beste Lösung ist wahrscheinlich, Ihr Produkt als SAAS bereitzustellen.
Antwort2
Wenn Sie einen Drittanbieterdienst über ein AMI bereitstellen, müssen Sie die Kontobereitstellung nicht unverändert lassen. Das bedeutet, dass es etwas schwierig sein kann, auf die EC2-Instanz zuzugreifen, wenn Sie ihnen nicht die SSH- oder RDP-Details mitteilen. Ich habe zuvor einen Dienst von einem Drittanbieter gemietet und erhielt keine Anmeldeinformationen für SSH oder RDP auf der Box und konnte die Box nur über eine Weboberfläche verwalten.
Falls Sie noch nicht davon gehört haben: Der AWS Marketplace ist so konzipiert, dass Sie auf Ihrem AWS-Konto Software von Drittanbietern ausführen können. AWS bietet außerdem einige Schutzmechanismen für Drittanbieter. So wird beispielsweise verhindert, dass Benutzer EBS-Volumes vom offiziellen AMI trennen und an ein anderes anschließen oder AMIs für den persönlichen Gebrauch klonen.
Wenn Sie AWS Marketplace verwenden möchten, müssen Sie Benutzern leider Zugriff gewähren, um die Verwaltung auf Betriebssystemebene durchzuführen. Ich weiß nicht, wie weit das tatsächlich geht, aber Sie müssen die Root-/Administratorkonten sperren und den Zugriff über einen normalen Benutzer zulassen. Vielleicht könnte das Chrooten dieses Benutzers einen gewissen Codeschutz bieten.
Ein gutes Beispiel hierfür ist professionelle Sicherheitssoftware: https://aws.amazon.com/marketplace/pp/B01CEYZ5S6
Sie können den AWS-Marktplatz auch verwenden, um AWS-Benutzern SaaS in Rechnung zu stellen.