防止开发人员创建过多或过大的AWS实例的机制？

Question

我们有一个新加入AWS的团队，希望迁移到通过我们的内部云提供商使用AWS云。想要给许多开发人员提供仪表板访问的权力，以支持他们学习和支持我们的开发和部署。然而，他们担心的是，如果有人发疯了，开始制造大量巨大的虚拟机，会带来成本

我知道，默认情况下，AWS在一个区域内有20个虚拟机总数的限制，但我们已经让他们大幅提高了我们的限制(在80-90之间)，以支持我认为我们最终需要的虚拟机总数的过高估计。这仍然为一些昂贵的VM留出了空间，如果开发人员走得太远的话。

AWS账户的所有者有没有什么工具可以用来对具有角色的开发人员创建虚拟机的虚拟机数量或虚拟机总成本设置一些软的上限，以便更好地限制这些限制？例如，在转移到生产环境之前，我们将首先启动一个小得多的集成环境，那么我们是否可以临时设置限制，以防止有人在准备开始实施prod环境之前启动80个虚拟机？

Answer 1

对，记住，在根账号上创建IAM账号。您还可以创建组和角色。

角色主要是为非人工aws功能保留的，因此您需要创建一些组。

最佳实践是创建一个dev组和一个admins组。让你自己成为管理员，给你自己administratorAccess (字面上是第一个选择)，然后完成创建群组。把你的IAM账户放进去。

然后把所有的开发人员放到其他IAM组中。阻止开发人员创建过多实例的最好方法是不给它们这种能力。只让你旋转，或者一个值得信赖的开发人员旋转它。

据我所知，你不能对开发者施加"20次计数限制“。你要么有权创建新的，要么没有。

我个人不会太担心它，因为他们旋转的任何EC2，你也可以看到。如果有人在5分钟内打开了20个，你可以直接把它们关掉。

如果有人生你的气想要辞职...他们可以试着给你添乱，但你有更大的问题。

只要有一个明确的公司政策，我们尽量不旋转太多的实例，除非必要。也有一个策略，您可以拍摄AMI和快照，并允许人们停止ec2实例，如果他们正在处理它。