如何为每个用户创建实验室临时账户和IAM用户?

问题描述 投票:0回答:1

Pluralsight(培训网站)上的云实验室,每次启动实验室时,他们都会使用一个 IAM 用户创建一个新帐户。

我想自己实现类似的逻辑,我该怎么做?

我目前的想法是使用AWS组织单位创建一个会员账户,但由于账户删除过程的困难和服务配额的限制,我正在寻找另一种方法。

期望能够在用户请求时创建新的临时帐户。

amazon-web-services cloud
1个回答
0
投票

此类实验室环境已被 AWS Training、QwikLabs 等公司使用。

大致流程是:

  • 拥有大量 AWS 账户 及其 
    root
    凭证
  • 当学生开始实验室时,获取其中一个帐户并跟踪它是否已分配给用户
  • 提供具有足够权限的 IAM 用户来执行实验
  • 如果合适,触发创建CloudFormation堆栈以配置初始基础设施(例如VPC、数据库、EC2实例)
  • 当学生完成后(或在设定的时间段后):

如果公开曝光,上述内容本质上是危险的,因为人们可能会尝试将这些帐户用于险恶的目的(存储/提供电影、生成比特币、发送垃圾邮件等)。 限制创建 IAM 实体的能力极其重要,否则可能会生成难以删除的临时凭证。所需的任何 IAM 权限都应作为实验室创建过程的一部分提供,并应尽可能锁定。已警告您!

AWS 将向您收取该账户生成的所有资源的费用。如果您在安全方面留下了漏洞并允许某人启动昂贵的 EC2 实例,请不要向他们抱怨。 “您”有责任维护帐户的适当安全并监控其使用情况。我建议在每个账户上激活 AWS CloudTrail,以便您可以查看对该账户执行的操作,并删除学生修改/删除这些跟踪的权限。 如果您配置的帐户仅供公司内部使用,那么您希望不会遇到这些问题,但请务必监控其使用情况并随时跟踪谁使用了该帐户。提醒他们,您的公司将为消耗的所有资源付费。

最新问题
© www.soinside.com 2019 - 2024. All rights reserved.