使用控制台创buildpipe理员组build议不要向我为我自己创build的IAM用户授予访问密钥,我打算授予最小权限 。
但是,除了作为“pipe理员”之外,我还想成为Elastic Beanstalk应用程序的开发人员。 而且,作为开发人员,我需要使用命令git aws.push来部署到AWS Elastic Beanstalk的访问密钥。
那么,我该如何解决这个困境呢? 我应该创build两个单独的IAM用户:一个用于pipe理( mpasquale-admin )和一个用于开发( mpasquale-dev )?
有几种方法可以解决这个问题 – 我将使用我的设置进行举例。
我始终确保Root账户(设置AWS账户的账户)启用了MFA,令牌或数字2FA被安全地存储。
一旦创build了Root,我就设置了一个“Admin”组和用户:mpasquale-admin,并授予此用户对AWS的完全访问权限(有或没有开单/取决于业务需要)。
从这里,将您的Root帐户密码更改为一些复杂的内容,并将密码策略设置为非默认密码策略 – 然后注销Root并尝试不使用它(紧急情况除外)。
login到pipe理员帐户并创build一个“开发人员”组。 从这里,你需要附加一个策略 – 所以search以下内容:AWSElasticBeanStalkFullAccess
附加策略并创build组。 将开发人员添加到该组(即:mpasquale-dev)。 授予该用户控制台访问权限并设置密码等
在IAM中,再次单击用户,然后向下滚动到安全证书。 点击pipe理访问密钥 – >然后创build访问密钥(稍后下载)。
现在,我会build议使用Elastic Beanstalktesting您的应用程序。
从这里,如果您需要更多地限制此策略,则可以编辑附加到开发人员组的策略,并根据需要磨练资源限制,用户,子网等。
我build议检查以下更多的信息:
http://docs.aws.amazon.com/elasticbeanstalk/latest/dg/AWSHowTo.iam.policies.html