¿Existe alguna forma en AWS de limitar qué tipo de roles y políticas puede crear otro rol?
En mi configuración, tengo dos tipos de funciones de administrador: AccountAdminy InfraAdmin. El AccountAdminque tiene más derechos y el InfraAdminque solo tiene el conjunto de derechos necesarios para ejecutar las operaciones diarias.
Ahora tengo una situación en la que el InfraAdminrol necesita derechos para crear paquetes donde tengo una instancia EC2, una base de datos RDS y un depósito S3 (descripción ligeramente simplificada, para que podamos centrarnos en el punto principal). Juntos, estos forman un servicio único lógico y tengo varios de estos paquetes que no deberían poder acceder a las bases de datos RDS o depósitos S3 de otros. Para permitir que la instancia EC2 acceda a su base de datos RDS y al depósito S3, estoy creando un perfil, función y políticas de instancia. Actualmente, esto requiere que otorgue derechos a la InfraAdmincreación de roles y políticas y en cierto modo destruye el principio de privilegio mínimo y la división entre AccountAdminy InfraAdminse vuelve inútil.
¿Hay alguna manera de limitar el tipo de políticas y roles que InfraAdminel rol puede crear para que no pueda usarse para otorgarse derechos adicionales a sí mismo o crear nuevos roles más poderosos?
Respuesta1
Sí, puede utilizar AWS Organizations para configurar un marco de gobierno basado en políticas que le permita establecer reglas y políticas que se apliquen a todas las cuentas de AWS de su organización. Esto le permite controlar qué servicios y acciones puede utilizar su función InfraAdmin, así como restringir las políticas y funciones que puede crear.
Para hacer esto, primero deberá crear una unidad organizativa (OU) para su función InfraAdmin y luego adjuntar una política de control de servicios (SCP) a esa OU que especifique los servicios y acciones que la función InfraAdmin puede utilizar. Luego puede utilizar AWS Identity and Access Management (IAM) para definir las políticas y roles que el rol InfraAdmin puede crear y adjuntar esas políticas al rol InfraAdmin.
Por ejemplo, podría crear un SCP que permita que la función InfraAdmin utilice solo los servicios EC2, RDS y S3, y restringir las acciones que puede realizar en esos servicios solo a las necesarias para crear y administrar los paquetes que descrito. Luego, podría utilizar IAM para crear políticas que permitan al rol InfraAdmin crear y administrar perfiles de instancia, roles y políticas para esos servicios, y adjuntar esas políticas al rol InfraAdmin. Esto permitiría que la función InfraAdmin creara los recursos necesarios para los paquetes sin darle la capacidad de otorgarse derechos adicionales o crear nuevas funciones más poderosas.
En general, utilizar AWS Organizations e IAM de esta manera le permite configurar un sistema de control de acceso más detallado y seguro para sus cuentas y recursos de AWS.