我有一個開源項目與幾個貢獻者。該項目的主頁在Amazon S3上託管。目前,S3存儲桶在我的個人帳戶上。只有我有權訪問它,並支付託管費(每月約5美元)。我的帳戶還有其他個人資料庫,貢獻者不應該訪問。如何安全地將憑據擴展到其他貢獻者到我的S3託管的OS項目
我想允許其他貢獻者修改網站。我也想啓用例如TravisCI將部署到該站點,這需要將一些憑據擴展到第三方。
感謝您的任何想法或經驗。
是否有必要完全建立一個單獨的亞馬遜賬戶,還是IAM足以滿足我的需求?
你或許應該有一個賬戶,這個項目是從你使用的目的無關的項目,爲清潔分離的任何賬戶分開,並在情況下,你要交出控制權。帳戶中沒有的內容不需要受到不應該看到它的用戶的保護。
跨賬戶權限是可能的,所以如果其他人已經擁有賬戶,那麼您可以在不知道他們的祕密的情況下授權他們現有的憑證,但它更復雜。
如果IAM是去,應該有所有貢獻者之間共享一個單一的IAM用戶的方式,或者我應該爲每個貢獻者一個單獨的一個?
您應該爲每個貢獻者絕對創建一個。這是一個沒有腦子的問題。 Accountability.
我需要MFA嗎?如果是這樣,如何安全地分發TOTP密鑰?
這取決於您對增加的安全性的需求。 MFA很棒,這也是一件麻煩事。但是,您不必(也不應該)爲虛擬MFA分發MFA祕密。用戶可以使用他/她的憑據登錄並自行創建和下載if you allow it。
我應該爲繼承(即公交係數)做出什麼規定?
heh,bus factor。是的,你可能需要一個具有高特權級別的值得信任的副官。在我的帳戶中,我們實際上並沒有使用根證書,但通常兩個人擁有根證書的物理副本,儘管我們有時在同一個電梯中一起騎車,而且我們確實不應該那樣做。
還有什麼我應該知道的?
閱讀文檔。它需要一點時間才能沉入,但如果你弄髒手並用它玩,花費的時間會更少。確保授予特權時,如果您確認不應起作用的事情確實無法正常工作,那麼不要僅僅驗證確實可行的事情。但是這適用於任何身份驗證和授權實現。
在EC2中使用IAM實例角色。
即使您無法想到實例需要某個角色的原因,仍然無法爲其指定一個實例,因爲實例只能在啓動時才賦予角色...尚未
以前,您只能添加IAM角色添加到實例,但AWS announced on 2017-02-09現在可以在啓動後將IAM角色附加到實例。與往常一樣,您可以隨時更改授予角色的權限。
閱讀有關用戶組。將用戶分組和策略附加到組,以簡化爲多個用戶授予相同的權限。
無關:爲您的帳戶啓用結算提醒,以在成本超過您選擇的閾值時通知您。