A questão é esta: posso, como terceiro, implantar meu software na conta AWS de um cliente e não permitir que eles acessem os recursos que precisam ser provisionados para eles? Por exemplo, posso provisionar algumas instâncias do EC2 e não permitir acesso a elas?
A questão surge do desejo de proteger o nosso IP de ser divulgado em virtude do código-fonte ser facilmente legível pelo cliente. Assim, deixando de lado os acordos de licença, existe a possibilidade de a propriedade intelectual ser comprometida, o que, nesta fase da vida da empresa, pode ser muito prejudicial do ponto de vista comercial.
Tenho pesquisado perguntas sobre tópicos relacionados, bem como a documentação da AWS, mas, para ser sincero, não estou vendo um caminho claro a seguir.
Qualquer pensamento seria muito apreciado.
Responder1
Não, o administrador da conta AWS tem acesso total. Mesmo que eles lhe concedam acesso exclusivo à conta usando o IAM, eles podem reverter isso a qualquer momento.
Presumo que seu código esteja em uma linguagem como PHP. Você poderia tentar um ofuscador, que é alguma proteção, mas não muita. Você poderia tentar algum tipo de conversão que mudasse o PHP para uma linguagem que possa ser compilada.
A melhor solução é provavelmente fornecer seu produto como SAAS.
Responder2
Ao fornecer um serviço de terceiros por meio de uma AMI, você não precisa deixar o provisionamento da conta intacto. O que significa que, a menos que você informe os detalhes do SSH ou RDP, pode ser um pouco difícil obter acesso à instância do EC2. Já aluguei um serviço de terceiros antes e não recebi nenhuma credencial para ssh ou rdp na caixa e só consegui gerenciar a caixa por meio de uma interface da web.
Se você ainda não se deparou com isso antes, o AWS Marketplace foi projetado para permitir que software de terceiros seja executado em sua conta AWS, e a AWS incorpora algumas proteções para terceiros, como impedir que os usuários separem volumes EBS do oficial AMI e anexá-la a outra ou clonar AMIs para uso pessoal.
Infelizmente, se você quiser usar o AWS Marketplace, precisará permitir o acesso dos usuários para realizar a administração no nível do sistema operacional. Não sei até onde isso realmente se estende, no entanto, é necessário bloquear as contas root/admin e permitir o acesso por meio de um usuário normal. Talvez fazer chroot neste usuário possa oferecer alguma proteção de código.
Um bom exemplo disso são alguns softwares de segurança profissionais: https://aws.amazon.com/marketplace/pp/B01CEYZ5S6
Você também pode usar o mercado da AWS para cobrar SaaS dos usuários da AWS.