Как управлять средами в AWS

Question

В нашей компании мы добавляем роль администратора всем разработчикам. Я думаю, что это большой риск, и теперь я хочу ограничить привилегии разработчиков. Моя цель состоит в том, чтобы разработчик мог добавить любой ресурс, но не может касаться тестовых и производственных сред.

Я думал создать группу на IAM и установить следующую политику, но, возможно, есть лучший подход.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": "*:*",
            "Resource": "*-dev-*"
        }
    ]
}

Существует ли набор рекомендаций для работы с несколькими средами (dev, test, prod) в AWS?

Answer 1

Лучше всего иметь полностью отдельные учетные записи AWS, одну или несколько только для производства и одну или несколько только для сред разработки / тестирования.

Для целей выставления счетов вы можете связать их полностью, если хотите.

Вы определенно не хотите, чтобы все ваши разработчики имели доступ администратора к вашей среде разработки, и отдельная учетная запись поможет ограничить вероятность катастрофической ошибки.