La pregunta es la siguiente: ¿puedo, como tercero, implementar mi software en la cuenta de AWS de un cliente y no permitirle ningún acceso a los recursos que deben aprovisionarse para él? Entonces, por ejemplo, ¿puedo aprovisionar una cierta cantidad de instancias EC2 y no permitirles ningún acceso?
La pregunta surge del deseo de proteger nuestra propiedad intelectual para que no sea divulgada en virtud de que el código fuente sea fácilmente legible por el cliente. Dejando de lado los acuerdos de licencia, existe la posibilidad de que la propiedad intelectual se vea comprometida, lo que en esta etapa de la vida del negocio podría ser muy perjudicial desde el punto de vista comercial.
He estado rastreando preguntas sobre temas relacionados, así como la documentación de AWS, pero para ser honesto, no veo un camino claro a seguir.
Cualquier idea sería muy apreciada.
Respuesta1
No, el administrador de la cuenta de AWS tiene acceso completo. Incluso si le dan acceso exclusivo a la cuenta mediante IAM, pueden revertirlo en cualquier momento.
¿Supongo que su código está en un lenguaje como PHP? Podrías probar con un ofuscador, que es cierta protección, pero no mucha. Podrías probar algún tipo de conversión que cambiara PHP a un lenguaje que pueda compilarse.
Probablemente la mejor solución sea ofrecer su producto como SAAS.
Respuesta2
Cuando proporciona un servicio de terceros a través de una AMI, no es necesario dejar intacto el aprovisionamiento de la cuenta. Lo que significa que, a menos que les proporcione los detalles de SSH o RDP, puede resultar algo difícil obtener acceso a la instancia EC2. Alquilé un servicio de un tercero antes y no recibí ninguna credencial para ssh o rdp en la caja, y solo pude administrar la caja a través de una interfaz web.
Si no lo ha encontrado antes, AWS Marketplace está diseñado para permitir que se ejecute software de terceros en su cuenta de AWS, y AWS incorpora algunas protecciones para terceros, como evitar que los usuarios separe volúmenes de EBS de la cuenta oficial. AMI y adjuntarla a otra, o clonar AMI para uso personal.
Lamentablemente, si desea utilizar AWS Marketplace, debe permitir el acceso de los usuarios para realizar la administración a nivel del sistema operativo. No sé hasta dónde se extiende eso, sin embargo, es necesario bloquear las cuentas raíz/administrador y permitir el acceso a través de un usuario normal. Quizás hacer chroot a este usuario podría ofrecer cierta protección de código.
Un buen ejemplo de ello son algunos de los programas de seguridad profesionales: https://aws.amazon.com/marketplace/pp/B01CEYZ5S6
También puede utilizar el mercado de AWS para facturar a los usuarios de AWS por SaaS.