将AWS和无服务器CLI用于同一台计算机上的专业和教育项目的最佳实践？

Question

我在工作中使用AWS和无服务器框架。工作凭证存储在~/.aws/credentials文件中。

最好的做法是能够从同一计算机帐户使用AWS和无服务器CLI，而不会冒着将我的教育项目部署到工作帐户的风险，或者更糟糕的是，在我的教育帐户上部署工作项目。

我不可能在编写aws/serverless命令时总是需要指定我想要使用的凭据，因为有时我会忘记。如果在教育项目中使用cli工具变得更加繁琐，这是可以接受的。

Answer 1

您的所有风险都来自于您想要使用您的工作计算机使用您的个人AWS帐户进行演示的事实。例如，我在我的工作计算机上有一个配置文件，它与我的个人亚马逊网络服务账户对一些代码提交repos和s3存储桶的有限只读角色相关。任何比这更多的风险，取决于你工作的组织，是完全不可接受的。

最好的解决方案是，您的工作为您提供了一个沙箱帐户，供您演示和使用。这也是我的工作所做的。在继续使用您自己的帐户之前，我会充分利用这一途径。

如果你继续使用你自己的账户，有几个选择。Profile已经存在了一段时间了，这一点已经被提到了。但就我个人而言，我发现犯错误很容易。将您的cli权限限制为您的工作帐户将缓解这一问题。在错误的账号上执行Read操作不如删除某些内容更糟糕。但我发现，一些cli工具会有不同的约定，它们使用的配置文件，所以这可能是危险的。

IMO最好的选择是配置AWS SSO。无论如何，长期使用亚马逊网络服务的用户被认为是糟糕的做法，既然iam已经推出了这一点，你甚至可以说他们是多余的。这样，您不需要存储任何长期的CLI凭据，也不需要记住配置文件。一次登录一个AWS帐户，您将登录一个小时。这将最大限度地减少您在错误帐户中执行操作的机会，并且不会有意外使用错误配置文件的风险。如果您第二天回到您的计算机，在记住指定正确的帐户之前运行一些CLI命令，这将无关紧要，因为您将无法登录。您需要记住，使用这种方法，您可能会有两个不同的SSO页面(一个用于个人，一个用于工作)，并且您还需要您的工作帐户来配置SSO。