Я настраиваю отдельную учетную запись AWS («Хранилище») для резервного копирования сегментов S3 и снимков RDS из моей производственной учетной записи AWS. Цель этого «хранилища» - обеспечить безопасное хранение данных, даже если одна из наших учетных записей AWS взломана и
также для обеспечения дополнительной (потенциально межрегиональной) безопасности. Параноик, не правда ли?
Мне интересно, как правильно изолировать учетную запись Vault от основной. Очевидно, что политики IAM для нескольких учетных записей должны быть в наличии, чтобы разрешить доступ к требуемому ресурсу для выполнения резервного копирования, но если я добавлю новую учетную запись через «организации AWS» в производственную учетную запись, можно переключиться на эту учетную запись из производственной учетной записи, бросая вызов цели разделения.
Существуют ли лучшие практики / политики, как это должно быть сделано?