Мы настраиваем стек Cloudformation (назовем его Stack A), состоящий из нескольких сервисов (VP C с частным su bnet, Lambdas, RDS, API-шлюз, NAT-шлюз). Мы делаем это через CDK. В настоящее время развертывание этого стека CDK выполняется пользователем, который имеет полный доступ к нашему AWS.
К сожалению, у нашего AWS аккаунта есть также несколько других стеков (например, Stack B, Stack C), которые принадлежат другим проектам.
В идеале мы хотели бы дать наш разработчик из проекта A имеет доступ только к стеку A. То есть они смогут создавать / обновлять / удалять S3, EC2, VP C, экземпляры Lambda (и т. д.) только в указанном пространстве имен. Также роли и группы безопасности, но те, которые не go вне стека А. Этот пользователь не должен иметь возможность видеть или редактировать какие-либо экземпляры из других стеков.
Как это можно установить вверх? Кто-нибудь когда-нибудь делал это таким образом? Мы думали о создании пользователя IAM без разрешений, а затем go 1 на 1, пока cdk deploy не пройдет для него, но мне любопытно, если кто-то уже сделал это, возможно, и может поделиться этим списком разрешений ?
PS Я знаю, что простые обходные пути - оставить его с полным доступом или создать отдельную учетную запись AWS для каждого из клиентов, но мы бы предпочли сделать это в крайнем случае.