AWS新手在这里。
我在我的AWS账户中有一个在EC2上运行的应用程序,我正在为客户构build。 我希望客户以某种方式能够支付EC2实例的每月运营成本,同时还可以完全控制运营。 有没有办法让第三方帐户能够支付特定EC2实例的帐单? 如果不是,build议的解决方法是什么?
澄清,从评论复制
为了明确我的需求,我是一个承包商,并为公司build立了一个应用程序。 原来雇用我的人已经被公司解雇了,我的发票正在被财务部门质疑。 我想让公司在分析这个问题的同时使用这个应用程序,但是仍然希望能够控制这个应用程序作为杠杆点,以防它们被遮挡。 我不想承担运营成本,但仍然允许他们在审查过程中运行应用程序
短回答客户拥有该帐户,包括pipe理权限,并授予您只有您需要的权限。 根据这个问题创buildIAM策略,将其附加到组中,将用户放在该组中,确保没有其他权限。 如果您需要SSH访问权限,则您拥有EC2实例的私钥。
长答案
如果您需要访问单个EC2实例,那么您只需让客户拥有该帐户,并拥有一个私钥即可login实例。
如果您需要控制台访问权限,则需要具有允许不同用户进行特定访问的策略的IAM用户。 客户将拥有该帐户,并按照标准,他们将拥有账单访问所有者帐户,他们不使用,pipe理帐户的日常pipe理。
pipe理员帐户创build一个策略,为您提供EC2访问权限。 这将授予您控制台访问权限,并可以授予您启动和停止特定实例或任何实例的权限。 它实际上是非常精细的,它可以受到实例ID,标签或各种事物的限制。
通常我会创build一个或多个策略,将它们分配给组,然后将用户添加到组中。 如果你有多个用户,这会让事情变得更简单。
AWS 在此处具有EC2的IAM策略信息。 这里和这里有一些例子政策。 没有比较正确的。 回答这个问题的政策可能非常接近你所需要的。
IAM适度复杂,performance不错。 您可以阅读文档并观看Re:Invent IAM会话。 你可以支付一个合格的人为你做。 如果你对你真正需要的问题有足够的了解,我可以写一个政策,但是你自己可能更好的了解它。 你可以用文档Re:Invent和IAM策略生成器来解决这个问题。 AWS网站上会有大量的预先写好的政策。
根据评论更新
在这种情况下, 合并计费是最好的解决scheme。 这意味着组织可以在无法访问帐户的情况下支付帐单。 如果他们拥有这个帐户,并给他们访问权限,他们可以完全访问,这似乎并不理想。
您可以在AWS组织中使用合并结算
另一种select是使用IAMangular色来分隔单个账户的账单和pipe理访问权限,将IAMangular色限制为与账单相关的策略以及另一angular色对操作和工程任务的限制。