Вопрос в следующем: могу ли я, как третья сторона, развернуть свое программное обеспечение в учетной записи AWS клиента и не предоставить им никакого доступа к ресурсам, которые должны быть предоставлены для них? Так, например, могу ли я предоставить некоторое количество экземпляров EC2 и не предоставить им никакого доступа?
Вопрос возникает из желания защитить нашу IP от разглашения в силу того, что исходный код легко читается клиентом. Поэтому, оставив в стороне лицензионные соглашения, существует вероятность того, что IP будет скомпрометирована, что на данном этапе жизни бизнеса может быть очень пагубно с коммерческой точки зрения.
Я просматривал вопросы по смежным темам, а также документацию AWS, но, честно говоря, не вижу четкого пути вперед.
Будем очень признательны за любые мысли.
решение1
Нет, администратор аккаунта AWS имеет полный доступ. Даже если они предоставят вам единоличный доступ к аккаунту с помощью IAM, они могут отменить это в любое время.
Я предполагаю, что ваш код на языке типа PHP? Вы можете попробовать обфускатор, который дает некоторую защиту, но не слишком большую. Вы можете попробовать какое-то преобразование, которое изменит PHP на язык, который можно скомпилировать.
Лучшим решением, вероятно, будет предоставление вашего продукта в виде SAAS.
решение2
Когда вы предоставляете стороннюю услугу через AMI, вам не нужно оставлять предоставление учетной записи нетронутым. Это означает, что если вы не сообщите им данные SSH или RDP, может быть довольно сложно получить доступ к экземпляру EC2. Я уже арендовал услугу у третьей стороны, и мне не дали никаких учетных данных для ssh или rdp к коробке, и я мог управлять коробкой только через веб-интерфейс.
Если вы еще не сталкивались с этим, AWS Marketplace разработан таким образом, чтобы разрешить запуск стороннего программного обеспечения в вашей учетной записи AWS, и AWS встраивает некоторые средства защиты для сторонних поставщиков, например, запрещая пользователям отсоединять тома EBS от официального AMI и прикреплять их к другому или клонировать AMI для личного использования.
К сожалению, если вы хотите использовать AWS Marketplace, вам все же нужно разрешить пользователям доступ для выполнения администрирования на уровне ОС. Я не знаю, насколько далеко это простирается, однако вам необходимо заблокировать учетные записи root/admin и разрешить доступ через обычного пользователя. Возможно, chrooting этого пользователя может обеспечить некоторую защиту кода.
Хорошим примером этого являются некоторые профессиональные программные обеспечения безопасности: https://aws.amazon.com/marketplace/pp/B01CEYZ5S6
Вы также можете использовать торговую площадку AWS для выставления счетов пользователям AWS за SaaS.