如何允许开发团队创建角色和策略?
0
【以下的问题经过翻译处理】 我发现我们公司在创建特定工作流程的角色和策略方面存在一种反模式。
我是开发团队中的一员,我们离AWS专家很远,但我们正在快速学习。我们正在构建一个应用程序,并尽可能遵循AWS的所有安全标准。随着我们的开发,我们需要创建具有适当策略的特定角色。
在我们公司有一个安全团队负责创建IAM方面的策略,因此开发团队没有权限创建/编辑/删除分配给角色的策略。开发团队只允许创建/编辑/删除/读取角色和读取策略。
开发团队面临很多挫败感,因为它无法独立地进行开发。在询问安全团队原因后,他们解释道:
- 过去人们在创建策略时经常会造成混乱,因此我们不得不限制策略的创建。
- 我们需要保护AWS账户免受用户的攻击。
- 我们需要保护团队免受自己的攻击。
我非常感谢社区对此的意见,以了解其他公司在“允许”创建策略方面的组织方式。
1 回答
- 最新
- 投票最多
- 评论最多
0
【以下的回答经过翻译处理】 你完全正确,这是云环境下的反模式,需要解决。但这不是一件容易的任务。可以采取以下几种不同的路径:
- 通过SCP禁止使用未使用的服务(允许这些服务的任何策略都将无效)
- 使用IAM边界限制开发人员可以创建和分配的角色
- 使用IaC创建角色
- 定义严格的IAM角色治理规则,包括命名约定
- 使用合规性检测非合规角色并将其删除
- 监控CloudTrail中IAM角色的创建并在使用情况上发出警报
我见过的其他方法,但不建议采用的方法是为开发人员提供自定义API以允许他们请求角色。我个人更喜欢采用合规性路线,并在控制措施上实施侦察性控制以识别不需要的角色。