AWS 限制访问但允许编辑安全组

Question

我与一个在 AWS 中托管共享数据库的开发人员团队合作。这个团队是“虚拟的”（由远程工作人员组成——没有办公室）。

有一个 AWS 安全组具有允许每个开发人员访问数据库（通过 IP 地址）的规则。高级开发人员拥有 AWS 的登录和管理员权限，允许他们更改安全组规则——例如当某人的 IP 地址更改时。

问题在于，一些初级开发人员的 IP 地址“跳跃”，并且经常更改。每次IP地址发生变化，高级开发人员需要停止工作，登录AWS，并为初级开发人员更正安全组规则。这是不可持续的。

我们是否可以设置 AWS，以便初级开发人员可以登录 AWS，但他们的权限仅允许他们访问单个特定的安全组？这样后辈就可以登录 AWS 并自助更新 IP 地址，管理层不必担心他们可以访问 AWS 中的其他受限区域？

Answer 1

要直接回答您的问题，有多种方法可以实现您想要的，而 IAM 和 SCP 是值得一看的。

借助 IAM，您可以使用 IAM Permission boundaries 限制特定用户拥有的权限，也可以依靠 ABAC approach 将特定标签分配给要授予访问权限的资源。在您的情况下，您可以在相关 SG 上设置“初级”标签，并根据其授予权限的相应 IAM 策略。

另一种选择是使用Service Control Policy（如果您启用了 AWS 组织）。使用 SCP，您可以限制帐户级别的某些操作（例如，拒绝对 ec2 的操作，除非满足特定条件）。 以上所有内容都属于身份访问级别。

在网络方面，您可以通过设置 AWS Client VPN in front of the RDS. 来稍微改变您的设计