Как обеспечить ограниченный доступ к веб-консоли AWS?

Question

Я работаю в качестве подрядчика в крупной корпоративной компании, и мне недавно был назначен новый проект, для которого нам необходимо запросить ресурсы в AWS. Для нашего проекта нам понадобится доступ к EC2 и RDS.

Я не очень знаком с AWS, поэтому мой вопрос: возможно ли получить доступ к AWS Web Console для нашей команды с ограниченными услугами (доступ только к EC2 и RDS в нашем случае)? Какой объем работы необходим для предоставления такого доступа (для настройки IAM и т. Д.)?

Меня немного беспокоит, что я не получу доступ к AWS Web Console, потому что меня спросили, нужен ли мне пользователь sudo для виртуальной машины. Мне было неприятно слышать такой вопрос, потому что мне понадобится несколько виртуальных машин, а не одна.

Answer 1

По умолчанию пользователи IAM не имеют доступа к сервисам.В такой ситуации они могут получить доступ к консоли управления AWS, но будет много сообщений об ошибках, связанных с отсутствием доступа к информации или возможностью выполнять действия.

Как только пользователю IAM будут предоставлены необходимые разрешения,консоль начнет работать лучше для них.Однако трудно точно определить, какие именно разрешения им требуются для полноценного использования консоли.Например, чтобы использовать консоль EC2, пользователю потребуется ec2:DescribeInstances, что позволяет ему просматривать сведения о всех экземплярах EC2.Это может быть нежелательно в вашей ситуации, поскольку они могут не захотеть, чтобы эти пользователи видели такой список.

Затем появляется возможность выполнять действия со службами, например запускать экземпляр EC2.Для этого требуется разрешение ec2:RunInstances, а также другие соответствующие разрешения для получения доступа к группам безопасности, ролям и конфигурации сети.

Итог: Да, вы сможете получить доступ к AWSконсоль управления.Тем не менее, ваша способность просматривать или делать что-либо будет ограничена предоставленными вам разрешениями.