共享AWS帐号(用于外部ID)
[英]Sharing AWS Account Number (for External ID)
问题描述
我们正在AWS之上构建服务,供内部组织根据此处的参考文档管理其AWS账户。
参考: http : //docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html
问题:参考文档,我们的服务等同于'ExampleCorp'。 因此,我们必须共享我们的AWS帐号,以担任项目AWS账户的角色。
共享我们的“ AWS帐号”是否出于安全考虑? 有人可以出于恶意目的使用此信息(AWS帐号)吗?
要么,
是否应该为每个项目/用户创建一个AWS帐号?
注意:(我在互联网上找到的唯一与此相关的参考是下面的链接,它声称可以共享-https://acloud.guru/forums/aws-certified-solutions-architect-professional/discussion/-KRUT9T6gFZ4Ebyv0hLp/我的帐户ID应该保持私有 )。
谢谢
2 个解决方案
解决方案1
5 2017-12-01 03:11:36
在业务合作伙伴之间共享AWS帐号是相当安全的。 任何人仅凭帐号就没有什么可以做的。 要承担角色,必须提供帐号,但是授权帐号还必须为该策略设置信任关系。 请注意为伙伴分配给IAM角色的权限。
您引用的有关欺骗亚马逊的链接中的评论。 他们将需要了解的信息比所提到的要多得多。 亚马逊在这方面非常聪明并且非常谨慎。
您需要仔细考虑为什么要授予第三方访问权限,以决定是否需要单独的帐户。 例如,如果您要从第三方购买安全/监视服务,则他们将需要访问您帐户中具有实例的实例。
解决方案2
1 2017-12-01 15:13:07
共享我们的“ AWS帐号”是否出于安全考虑? 有人可以出于恶意目的使用此信息(AWS帐号)吗?
如果您需要他人提供跨帐户访问权限,则必须共享您的帐户ID。 这就是建立信任关系的方式。 因此,共享您的帐号应该没有安全问题。
要么,
是否应该为每个项目/用户创建一个AWS帐号?
不,你不会。 只需使用一个帐户即可链接到其他项目。
共享AWS帐号作为外部ID
这不是不! 为要承担的每个交叉帐户角色生成一个唯一的外部ID字符串。 您的外部ID可以识别您担任该角色并建立信任关系。 如果仅将帐户编号用作外部ID,并且由于某些原因,您的IAM用户凭据受到威胁,则关联帐户(带有角色)也可能受到破坏。 我的建议是为每个项目生成新的外部ID,并可能(具体针对您的用例)为每个项目生成IAM用户,并为其分配策略,以仅对相应账户项目和可能需要的其他AWS服务承担角色。
使用无服务器框架在 AWS 的跨账户角色中使用外部 ID
[英]Use External Id in cross-account role of AWS using Serverless Framework
如何根据amazons中托管的EC2实例获取aws帐号/ id
[英]how to get aws account number /id based on EC2 instance which is hosted in amazons
是否可以以编程方式从账户 ID 中检索 AWS 账单账户 ID
[英]Is it possible to retrieve the the AWS Billing Account Id from an Account Id programmatically
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.