Есть ли в AWS способ ограничить типы ролей и политик, которые может создавать другая роль?
В моей настройке есть два вида ролей администратора: AccountAdminи InfraAdmin. AccountAdminУ одного больше прав, а InfraAdminу другого только необходимый набор прав для выполнения повседневных операций.
Теперь у меня ситуация, когда InfraAdminроли нужны права на создание пакетов, где у меня есть экземпляр EC2, база данных RDS и контейнер S3 (немного упрощенное описание, чтобы мы могли сосредоточиться на главном). Вместе они образуют логическую единую службу, и у меня есть несколько таких пакетов, которые не должны иметь доступа к базам данных RDS или контейнерам S3 других пользователей. Чтобы разрешить экземпляру EC2 получать доступ к своей базе данных RDS и контейнеру S3, я создаю профиль экземпляра, роль и политики. В настоящее время это требует от меня предоставления прав на InfraAdminсоздание ролей и политик, и это как бы разрушает принцип наименьших привилегий, а разделение между AccountAdminи InfraAdminстановится бессмысленным.
Есть ли способ ограничить типы политик и ролей, которые InfraAdminможет создавать роль, чтобы ее нельзя было использовать для предоставления себе дополнительных прав или создания новых более мощных ролей?
решение1
Да, вы можете использовать AWS Organizations для настройки основанной на политиках структуры управления, которая позволяет вам устанавливать правила и политики, применяемые ко всем аккаунтам AWS в вашей организации. Это позволяет вам контролировать, какие службы и действия может использовать ваша роль InfraAdmin, а также ограничивать политики и роли, которые она может создавать.
Для этого вам сначала нужно будет создать организационную единицу (OU) для вашей роли InfraAdmin, а затем прикрепить политику управления службами (SCP) к этой OU, которая определяет службы и действия, которые разрешено использовать роли InfraAdmin. Затем вы можете использовать AWS Identity and Access Management (IAM) для определения политик и ролей, которые разрешено создавать роли InfraAdmin, и прикрепить эти политики к роли InfraAdmin.
Например, вы можете создать SCP, которая позволяет роли InfraAdmin использовать только службы EC2, RDS и S3, и ограничить действия, которые она может выполнять с этими службами, только теми, которые необходимы для создания и управления описанными вами пакетами. Затем вы можете использовать IAM для создания политик, которые позволяют роли InfraAdmin создавать и управлять профилями экземпляров, ролями и политиками для этих служб, и прикрепить эти политики к роли InfraAdmin. Это позволит роли InfraAdmin создавать необходимые ресурсы для пакетов, не предоставляя ей возможности предоставлять себе дополнительные права или создавать новые более мощные роли.
В целом, использование AWS Organizations и IAM таким образом позволяет вам настроить более детализированную и безопасную систему контроля доступа для ваших учетных записей и ресурсов AWS.