IAM角色与用户-最佳实践

Question

我给10个开发者提供支持。这些开发者在所谓的团队和部落(如Spotify)中是分开的。因此，每个部落(就像一组共享共同任务的用户)需要一组对AWS资源的权限。当开发人员部署应用程序时，例如在Ec2实例中，它承担ec2实例的角色。当这个开发人员使用他的开发机器测试和开发应用程序时，他需要访问亚马逊网络服务资源，比如ec2实例。那么，正确的方法是:像用户或组一样给这个开发人员权限，还是让他承担像ec2实例这样的角色？

Answer 1

如果开发人员在本地开发，他们只能使用IAM用户/组权限。他们不能承担角色，因为他们不在EC2实例上。因此，假设它们都属于一个名为Developer的IAM组。

对于开发人员组，您可以授予他们开发所需的一组托管或自定义策略。假设他们有IAM策略p1, p2, p3，这使他们能够访问所需的测试资源。

对于部署到亚马逊网络服务上的测试或开发环境，您需要为每个实例提供一个角色，比如AppServer。AppServer角色/配置文件还可以具有与其关联的相同IAM策略p1, p2, p3。

这样，您的本地开发人员在部署时具有与您的实例相同的策略。