Политика AWS, позволяющая безсерверное развертывание в производство только конкретному пользователю / группе

Question

Я ищу способ ограничить развертывание для производства, предполагая, что я не использую несколько учетных записей для dev и prod.

Мой вариант использования будет выглядеть следующим образом (я все еще не уверен, возможно ли это,Пожалуйста, помогите мне в этом).Я хочу создать несколько пользователей в одной учетной записи, но разрешить только одному пользователю / группе выполнять команды, такие как sls deploy -s prod и, возможно, разрешить только тому пользователю / группе быть единственным, кто может создавать источники с именем prod_ {name}, дляНапример, имя таблицы динамо prod_users.

Возможно ли это?или единственный способ отделить беспокойство - это объединить биллинг и несколько аккаунтов?

Спасибо!

Answer 1

По умолчанию у пользователей нет никаких привилегий, поэтому вы должны явно разрешить им что-то делать в AWS.Самый простой способ сделать это - перейти на консоль IAM и создать группу для пользователей, которым разрешено делать то, что вам нужно.После присвоения имени группе следующим шагом в консоли IAM является присоединение политики к группе.На этом шаге вы должны выбрать CloudFormation, EC2, RDS, ElasticBeanstalk и любые службы, к которым вы хотите, чтобы они обращались.Для каждой услуги вы можете выбрать более гранулярный (чтение, доступ, администратор, ...).Вы можете выбрать одну из предварительно разработанных политик AWS или создать свою собственную, если она настолько специфична, что на нее не распространяются уже существующие политики.Я хотел бы помочь вам в дальнейшем (т.е. рассказать, какие политики следует включить), но для этого мне нужно знать конкретные типы пользователей и услуг, которые вы хотите покрыть.С уважением,