1. дома
  2. Вопрос и ответ
  3. Как защитить доступ к ресурсам эластичного бобового стебля + советы по безопасности?

Как защитить доступ к ресурсам эластичного бобового стебля + советы по безопасности?

2013-04-23 16 views
0

Я использую Elastic Beanstalk, а также новые функции для автоматического создания некоторых ресурсов среды (например, очереди SQS). Это действительно удобно, однако это связано с одной проблемой: если я «завершаю» среду, все связанные ресурсы также удаляются.Как защитить доступ к ресурсам эластичного бобового стебля + советы по безопасности?

Я считаю это действительно опасным, хотя я единственный, кто может управлять этим аккаунтом, я всегда могу быть пьян (ха-ха) или, набрав неправильную команду в CLI, или, конечно, кто-то может украсть мою учетную запись.

Может быть, я немного параноик, но до сих пор я нашел несколько стратегий, я хотел бы знать, какой из них лучше:

1) Создание нового IAM пользователя для себя с Read- только доступ и настроить двухфакторную аутентификацию для основной учетной записи (мастер), так что, если мне нужно создать ресурсы, мне абсолютно необходимо перейти на главную учетную запись с лучшей безопасностью.

2) Предотвратите прекращение действия из основного экземпляра EC2, созданного Beanstalk. Если я это сделаю, я больше не могу закончить среду Beanstalk по ошибке. Мой вопрос: одно из преимуществ балансировки эластичной нагрузки заключается в том, что он может отключать нездоровые экземпляры и запускать новые. Однако, что произойдет, если один экземпляр установлен как «запрет закрытия»? Может ли балансировка нагрузки обойти это и создать новый экземпляр?

3) Сделайте оба?

Как правило, что такое лучшие практики по этой теме?

Спасибо за ваши ответы!

источник

2013-04-23 Michael Gallego

+0

Вы используете '.ebextensions' для этого во время создания экземпляра или используете пользовательский файл конфигурации с' eb' или подобным? Кроме того, можете ли вы изложить, какие ресурсы вы создаете, которые хотите сохранить, когда и прекратите работу среды? – tbjers

+0

Да, я использую .ebextensions для создания очереди SQS (в настоящее время). Я также использую RDS, который создается автоматически с помощью Beanstalk (однако есть возможность НЕ удалять связанный ресурс RDS, если Beanstalk завершен, но нет таких параметров для ресурсов, указанных в .ebextensions) –

ответ

1

К сожалению, очереди SQS не поддерживают защиту терминации.

Из двух вариантов я бы определенно пошел с 1), поскольку 2) не полностью защищает кластер EB от удаления.

Объяснение:

1) Я рекомендую создать отдельную IAM пользователя для каждодневных задач и защиты основного счета с двухфакторной аутентификацией и использовать, чтобы закрутить вверх/вниз новые кластеры EB.

2) Даже если вы защитите основной экземпляр EC2 с защитой от завершения, другие критически важные ресурсы, связанные с средой EB, будут по-прежнему прекращены, например, балансировщики нагрузки, группы автомасштабирования и темы SNS.

Я думаю, что самым простым решением по-прежнему будет следовать философия «цель дважды, снимать один раз», хотя учетная запись IAM с политикой, которая не позволяет ей прерывать экземпляры, среды EB, удалять приложения EB и подобная была бы вашей надежной защитой против вас в моменты временного безумия.

Надеюсь, это поможет!

источник

2013-05-08 18:28:13 tbjers

+0

Привет, спасибо, это помогает.Я сделал следующую группу пользователей с этой политикой, так что я не могу ее закончить или удалить: https://gist.github.com/bakura10/da100327710b0c394d41 Вам это хорошо? –

+0

Я пытаюсь, мне это нравится. Мне нужно войти в корневой пользователь, чтобы изначально создать среду Beanstalk, тогда я могу использовать учетную запись IAM для большинства операций управления, за исключением завершения или удаления всего. Звучит неплохо для меня. –

+0

Да, эта конфигурация IAM хорошо выглядит для меня! – tbjers

 Смежные вопросы

  • Нет связанных вопросов^_^