Я хотел бы иметь различные условия в AWS. Сначала я подумал о том, чтобы различать среды по тегам, тегам AWS Resources. Но тогда я не могу запретить пользователям изменять теги машины. Это означает, что если я разрешаю им ec2:CreateTags
, они могут не только создать тег, но и изменить тег любого из ресурсов, поскольку не могут применить к нему условие - скажем, например, если он принадлежит определенному VPC или подсети. Если я не разрешаю им создавать теги, то они могут запускать экземпляр, но теги не применяются, и поэтому дальнейшая операция по экземпляру не разрешена.Как различать различные среды AWS - Dev, Test, Stage, Production?
Если я хочу различать среды по VPC-ID, то для таких операций, как ec2:StartInstance
, не может применяться условие, позволяющее выполнять операцию только в определенном VPC-ID, но может условно разрешать на основе тега ресурсов, что по причинам предыдущего пункт не является убедительным.
На АМС documentation он упоминает
Один из подходов к сохранению такого разделения обсуждалась в Working with AWS Access Credentials, то есть использовать различные учетные записи для развития и производственных ресурсов.
Возможно, у вас есть один Платежный счет для нескольких других счетов, которые сами являются Платежными счетами? Я до сих пор не думаю, что несколько учетных записей только для разных сред - хорошая идея.
Как вы обычно различаете среду для обеспечения соблюдения политик?
Спасибо.
Вам не нужны разные учетные записи. Фактически вы можете просто использовать VPC или даже сетевые acls, чтобы они не могли разговаривать друг с другом. – dvallejo