是否可以按项目分开资源(EC2实例,S3存储桶等),并且每个项目有不同的权限?
通过这种方式,我可以将项目A的pipe理员权限授予用户A,项目B的pipe理员权限授予用户B,但用户A和用户B都可以修改或访问另一个项目。 这在Google云端平台中非常简单,并且想知道在AWS中是否一样。
我是一个拥有多个客户的自由职业者。 如果我可以使用自己的电子邮件login并访问所有客户的资源,但他们只能访问自己的资源,这将是很好的。
可能有这些types的权限,但是,没有办法从另一个客户端“隐藏”属于一个客户端的资源。
因此,尽pipe客户端A可以login并且只与他们的资源进行交互,但他们仍然可以“看到”来自客户端B的资源。
另外,账单实际上是无法分割的。 您可以使用资源标签查看账单细目,但只会有一个账单。 您将负责支付该账单,并从客户那里收回适当的费用。
另一方面,您可以使用多个AWS账户。 例如,为您的每个客户一个。
这有很多好处:
使用每个AWS账户,您可以创build自己的“pipe理员”用户,以便pipe理账户。
更新:
如果您愿意付账,并从您的客户那里收集,那么您可以使用AWS“组织”。 所有分开的AWS账户都可以在AWS账户下进行收集。
是的,在AWS中很容易。 由于有时必须编写策略,它可能会变得有点复杂,但是有大量的示例和教程。
查看AWS Identity and Access Management (IAM)的文档。 这使您可以为特定用户提供访问特定资源的细粒度级别。 您可以使用组和策略来定义谁可以访问哪些资源。
IAMangular色允许您login到您的帐户以访问其他帐户中的资源。 基本上,帐户与您的帐户build立了信任关系,您可以承担pipe理该帐户的angular色。 它有点勉强,但它工作正常。
我不能把这个答案所需的所有信息,只是太长了。 AWS文档非常好,大量的教程。
另外,如果您pipe理多个客户的AWS账户,我build议您使用Linux Academy或Cloud Guru这样的东西,至less研究AWS Solution Architect Associate考试。 所有这一切都被覆盖了,专业人员更进一步。 资质好,但掌握知识是关键。
更新问题重新计费
如果您希望客户直接支付发票,则必须将每个客户置于自己的帐户上。 这通常意味着创buildAMI,在新帐户中创build新实例,然后更改DNS等。
如果您代表客户开票,则可以使用成本分配标签来计算每个客户的结算。
每个客户端有多个账户,一个主账单账户,也有你的IAM账户在其中切换angular色。 并设置一个组织来pipe理其他账户中的IAM用户。
https://aws.amazon.com/blogs/aws/new-cross-account-access-in-the-aws-management-console/