Контроль доступа EC2 и RDS для стороннего пользователя

Question

Я настраиваю экземпляр EC2 и базу данных RDS Amazon для размещения веб-сайта .NET. Я хочу, чтобы мой сторонний веб-мастер справлялся с его настройкой, но как только он завершил настройку и работает веб-сайт, я хочу полностью удалить его доступ к EC2 и RDS.

Все, что я хочу дать ему, это RDP в EC2 с корневым доступом, если ему нужно установить дополнительное программное обеспечение и возможность создавать и редактировать таблицы в базе данных SQL в RDS. Он не играет никакой роли в управлении и изменении экземпляров EC2/RDS.

Я попытался выделить доступ IAM группами, и все, но я не могу понять, как мне сохранить доступ к суперпользователю, когда я удаляю его, как только он закончит настройку веб-сервера и базы данных SQL. Как предоставить ему временный отзывный доступ, пока я поддерживаю доступ суперпользователя, который не будет затронут, даже если я удалю его из IAM?

Answer 1

Amazon IAM не поможет вам в том, что вы хотите сделать.

IAM используется, если вы хотите ограничить и/или разрешить доступ к управлению ресурсами верхнего уровня через консоль управления AWS и/или AWS API.

Однако, что вы хотите сделать, это контролировать доступ к внутренним компонентам ваших ресурсов (экземпляры EC2 и экземпляр RDS). Для этого, вам нужно сделать их, используя свои собственные средства управления внутренней безопасности:

1. Для экземпляра RDS, создать пользователя, не администратора с достаточно просто разрешениями для них, чтобы сделать то, что они хотят сделать. Например, если ваш экземпляр RDS является MySQL, тогда дайте им разрешения INSERT, SELECT, UPDATE, DELETE, CREATE TABLE и т. Д. Не давайте им возможность создавать/изменять пользователей или что-нибудь административное. Лучшая практика дает им разрешения как можно меньше и добавляет разрешения (если вы считаете, что все в порядке), как они их просят.

2. Для вашего экземпляра EC2 не предоставляйте им права доступа. Создайте пользователя без полномочий root специально для своего веб-мастера. Дайте этому пользователю «достаточно» разрешений для установки веб-сайта. Не разрешайте им использовать yum или apt. Вместо этого, если они в этом нуждаются, они должны сказать вам, и вы можете сделать это как root.

В обоих случаях, как только ваш веб-мастер будет удален, удалите их пользователей и закройте их (-ы) группой безопасности.

Никогда не предоставляйте root/admin доступ к третьей стороне. Существует много причин, но основными являются следующие:

1. С помощью root-доступа ваш веб-мастер может создавать других пользователей и/или задние двери, которые позволят им получить доступ, даже после отмены их доступа. Не давайте им шанс сделать это.
2. Поскольку вы несете ответственность за эти ресурсы, вы должны быть в курсе всего, что было сделано им: все пользователи, которые получают созданные, все программное обеспечение, который установлен и т.д.