AWS 中訪問/刪除資源的多級身份驗證/授權或批准
[英]Multi level authentication/authorization or approvals for access/delete resource in AWS
原文
2022-12-21 04:15:21
9
1
amazon-web-services/
authentication/
amazon-iam/
multi-factor-authentication
問題描述
我想實施一項安全措施,使任何經過身份驗證的用戶僅在獲得任何其他成員的批准后才能刪除任何 AWS 資源。
主要目標是確保,如果信用被泄露,用戶不應該在未經批准的情況下刪除任何資源。
期待就此獲得一些專家建議和討論。
我了解,最低訪問權限和 MFA,但它仍然滿足我們的要求。
1 個解決方案
解決方案1
0 2022-12-21 05:58:05
由於 AWS 不直接支持此功能,因此您必須為此設置自定義解決方案。
這是一種可能的解決方案:
創建具有刪除權限的角色。
創建一個 Lambda 以使用該角色刪除資源。
如果輸入至少包含兩個批准,則實施 Lambda 以僅處理刪除請求。 (這部分取決於您的組織身份驗證機制。可能是 LDAP、短期訪問令牌等)
這滿足了您提到的兩個要求:
一種安全措施,使任何經過身份驗證的用戶僅在獲得任何其他成員的批准后才能刪除任何 AWS 資源。
如果至少有 2 個批准,Lambda 只會處理請求。
如果信用被泄露,用戶不應該在未經批准的情況下刪除任何資源。
在這個設計中沒有憑據。 您創建的角色只能由 Lambda 承擔。 您可以通過僅允許某些用戶、角色或組能夠執行 Lambda 來進一步提高安全性。
在 AWS/Azure 中運行但需要訪問 GCLOUD 命令的容器化應用程序中,設置 gcloud 身份驗證的最佳方法是什么?
[英]In a containerized application that runs in AWS/Azure but needs to access GCLOUD commands, what is the best way to setup gcloud authentication?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.