Разделить ресурсы и доступ для каждого проекта на AWS?
Можно ли разделить ресурсы (экземпляры EC2, корзины S3 и т. Д.) По проектам и иметь отдельные разрешения для каждого проекта?
Таким образом, я могу дать разрешение администратора проекта A пользователю A и разрешение администратора проекта B пользователю B, но ни пользователь A, ни пользователь B не могут изменять или получать доступ к другому. Это довольно просто в Google Cloud Platform, и мне было интересно, то же самое и в AWS.
Я фрилансер с несколькими клиентами. Было бы хорошо, если бы я мог войти в систему, используя свою электронную почту, и получить доступ ко всем ресурсам клиента, но они могут получить доступ только к своим.
lenne ilyen típusú engedélye, azonban nincs mód arra, hogy "elrejtsük" az egyik ügyfélhez tartozó erőforrásokat egy másik kliens elől.
Tehát, míg az A kliens bejelentkezhet és csak az erőforrásaikkal léphet kapcsolatba, akkor is "meglátja" a B kliens erőforrásait.
semmilyen módon nem lehet ténylegesen megosztani a számlát. Láthatja a számla bontását erőforrás-címkézéssel, de csak egy lesz. Ön lesz felelős a számla kifizetéséért és a megfelelő költségek megtérítéséért az ügyfelektől.
Másrészt több AWS-fiókot is felhasználhat. Például mindegyik ügyfélnek egy.
Ennek számos előnye van:
- Az erőforrások gyakorlatilag el vannak választva
- A kliens nem látja B kliens erőforrásait
- Kevésbé funky házirendírás
- A számlák lehet közvetlenül az ügyfelek fizetik
Minden AWS-fiókkal létrehozhat saját "admin" felhasználót, hogy kezelhesse a fiókot.
Frissítés:
Ha hajlandó fizetni a számlát, és gyűjtsön ügyfeleitől, akkor használhatja az AWS "Szervezeteket". Az összes elkülönített AWS-fiók összegyűjthető egy esernyő AWS-fiók alatt.
Да, в AWS это легко сделать. Это может быть немного сложно, поскольку вам иногда приходится писать политики, но есть множество примеров и руководств.
Посмотрите документацию по AWS Identity and Access Management (IAM). Это позволяет предоставить конкретным пользователям доступ к определенным ресурсам на очень мелком уровне. Вы используете группы и политики, чтобы определить, кто имеет доступ к каким ресурсам.
Роли IAM позволяют вам при входе в свою учетную запись получать доступ к ресурсам в других учетных записях. По сути, учетная запись устанавливает доверительные отношения с вашей учетной записью, и вы можете взять на себя роль для управления этой учетной записью. Это немного неудобно, но работает нормально.
Я не могу указать всю необходимую информацию в этом ответе, он слишком длинный. Документация AWS отличная, множество руководств.
Кроме того, если вы управляете несколькими учетными записями AWS клиентов, я предлагаю вам использовать что-то вроде Linux Academy или Cloud Guru для изучения как минимум для сдачи экзамена AWS Solution Architect Associate. Все это покрыто, и профессионал идет еще дальше. Квалификация хороша, но знание является ключевым моментом.
Обновленный вопрос о выставлении счетов
Если вы хотите, чтобы клиент оплачивал счет напрямую, вы должны поместить каждого клиента на его собственный счет. Обычно это означает создание AMI, создание нового экземпляра в новой учетной записи, затем изменение DNS и т. Д.
Если вы выставляете счет клиенту от имени, вы можете использовать теги распределения затрат для расчета биллинга. для каждого покупателя.
Несколько учетных записей на клиентов, основная учетная запись для выставления счетов, в которой также есть ваша учетная запись IAM, между которой вы переключаетесь ролями. И настройте организацию для управления пользователями IAM в других учетных записях.
https://aws.amazon.com/blogs/aws/new-cross-account-access-in-the-aws-management-console/