저는 AWS에서 호스팅되는 공유 데이터베이스가있는 개발자 팀과 협력합니다. 이 팀은 "가상"입니다 (원격 작업자로 구성되어 사무실이 없음).
각 개발자가 데이터베이스에 액세스 할 수 있도록 허용하는 규칙이있는 AWS 보안 그룹이 있습니다 (IP 주소로). 선임 개발자에게는 AWS에 대한 로그인 및 관리자 권한이있어 보안 그룹 규칙을 변경할 수 있습니다 (예 : 누군가의 IP 주소 변경시).
문제는 일부 주니어 개발자가 자주 변경되는 "점프"IP 주소를 가지고 있다는 것입니다. IP 주소가 변경 될 때마다 시니어 개발자는 작업을 중지하고 AWS에 로그인 한 후 하위 개발자에 대한 보안 그룹 규칙을 수정해야합니다. 이것은 지속 가능하지 않습니다.
주니어 개발자가 AWS에 로그인 할 수 있도록 AWS를 설정할 수있는 방법이 있습니까?하지만 해당 권한은 단일 특정 보안 그룹에만 액세스 할 수 있도록 허용합니까? 이렇게하면 후배들이 AWS에 로그인하여 IP 주소 업데이트를 직접 처리 할 수 있으며, 경영진은 AWS의 다른 제한된 영역에 액세스 할 수 있는지 걱정할 필요가 없습니다.
질문에 직접 답하기 위해 원하는 것을 달성하는 여러 가지 방법이 있으며 IAM과 SCP를 살펴 보겠습니다.
IAM을 사용하면 IAM 권한 경계 를 사용 하여 특정 사용자가 가진 권한을 제한하거나 액세스 권한을 부여 할 리소스에 특정 태그를 할당하는 ABAC 접근 방식 을 사용할 수 있습니다. 귀하의 경우에는 해당 SG에 "주니어"태그를 설정하고이를 기반으로 권한을 부여하는 각 IAM 정책을 가질 수 있습니다.
또 다른 옵션은 서비스 제어 정책 을 사용하는 것입니다 (AWS Organization이 활성화 된 경우). SCP를 사용하면 계정 수준에서 특정 작업을 제한 할 수 있습니다 (예 : 특정 기준이 충족되지 않는 한 ec2에 대한 작업 거부). 위의 모든 항목은 ID 액세스 수준에 있습니다.
네트워킹 측면 에서 RDS 앞에 AWS Client VPN 을 설정하여 설계를 약간 변경할 수 있습니다 .
이 기사는 인터넷에서 수집됩니다. 재 인쇄 할 때 출처를 알려주십시오.
침해가 발생한 경우 연락 주시기 바랍니다[email protected] 삭제
몇 마디 만하겠습니다