Pluralsight(培训网站)上的云实验室,每次启动实验室时,他们都会使用一个 IAM 用户创建一个新帐户。
我想自己实现类似的逻辑,我该怎么做?
我目前的想法是使用AWS组织单位创建一个会员账户,但由于账户删除过程的困难和服务配额的限制,我正在寻找另一种方法。
期望能够在用户请求时创建新的临时帐户。
此类实验室环境已被 AWS Training、QwikLabs 等公司使用。
大致流程是:
root
凭证如果公开曝光,上述内容本质上是危险的,因为人们可能会尝试将这些帐户用于险恶的目的(存储/提供电影、生成比特币、发送垃圾邮件等)。 限制创建 IAM 实体的能力极其重要,否则可能会生成难以删除的临时凭证。所需的任何 IAM 权限都应作为实验室创建过程的一部分提供,并应尽可能锁定。已警告您!
AWS 将向您收取该账户生成的所有资源的费用。如果您在安全方面留下了漏洞并允许某人启动昂贵的 EC2 实例,请不要向他们抱怨。 “您”有责任维护帐户的适当安全并监控其使用情况。我建议在每个账户上激活 AWS CloudTrail,以便您可以查看对该账户执行的操作,并删除学生修改/删除这些跟踪的权限。 如果您配置的帐户仅供公司内部使用,那么您希望不会遇到这些问题,但请务必监控其使用情况并随时跟踪谁使用了该帐户。提醒他们,您的公司将为消耗的所有资源付费。