ฉันต้องการทราบแนวทางปฏิบัติที่ดีที่สุดที่บริษัทขนาดใหญ่ใช้สำหรับการเข้าถึงทางโปรแกรมสำหรับบริการต่างๆ ของ AWS เนื่องจากมีหลายโปรแกรมที่ต้องการการเข้าถึงบริการที่แตกต่างกันถึง 2 บริการ จึงมีการจัดการอย่างไร พวกเขาสร้างคีย์การเข้าถึงหลายรายการสำหรับแต่ละโปรแกรมสำหรับ 2 บริการที่แตกต่างกัน หรือสร้างคีย์เดียวที่เข้าถึงบริการทั้งหมด
แนวทางปฏิบัติที่ดีที่สุดสำหรับทรัพยากร AWS เช่น EC2 / Lambda / ฯลฯ คือการใช้บทบาท IAM อย่างละเอียด ที่นี่. กล่าวโดยสรุปคือ คุณไม่ได้สร้างผู้ใช้สำหรับเซิร์ฟเวอร์ แต่คุณสร้างบทบาทที่บริการสามารถถือว่ามีชุดสิทธิ์ซึ่งเชื่อมโยงกับเซิร์ฟเวอร์ EC2
เซิร์ฟเวอร์ที่มีบทบาทนั้นจะได้รับข้อมูลรับรอง "ชั่วคราว" เมื่อเซิร์ฟเวอร์ทำงาน เพื่อให้สามารถเข้าถึงบริการใดๆ ที่บทบาท IAM อนุญาต เมื่อฉันพูดว่า "ชั่วคราว" ข้อมูลรับรองที่มอบให้กับบริการนั้นมีอายุสั้น อาจเป็นเวลา 24 ชั่วโมง แต่เมื่อหมดอายุจะมีการออกข้อมูลรับรองใหม่ให้ ซึ่งโดยปกติจะโปร่งใส เว้นแต่ว่าคุณกำลังเขียนซอฟต์แวร์ที่ใช้ซอฟต์แวร์เหล่านั้น ซึ่งในกรณีนี้ คุณต้องตรวจสอบเป็นครั้งคราว ฉันอาจไม่มีรายละเอียดมากนัก แต่ก็ถูกต้องไม่มากก็น้อย
AWS มีนโยบายที่กำหนดไว้ล่วงหน้าซึ่งสามารถกำหนดบทบาทได้ง่ายขึ้น
ตัวอย่างเช่น คุณสามารถกำหนดบทบาทที่ระบุว่า "เซิร์ฟเวอร์ EC2 ที่มีบทบาทนี้สามารถพุชไปยัง SQS, ดึงจาก SQS, เรียกใช้งานฟังก์ชันแลมบ์ดานี้" และสิ่งใดก็ตามที่ไม่ได้รับอนุญาตอย่างชัดแจ้งจะถูกปฏิเสธ บางครั้งอาจต้องใช้การทดลองเล็กน้อยเพื่อให้ได้สิทธิ์ที่คุณต้องการ สิทธิ์ขั้นต่ำนั้นดีที่สุด ดังนั้นหากทรัพยากรเช่นเซิร์ฟเวอร์ EC2 ถูกบุกรุก ก็จะไม่มีสิทธิ์ของผู้ดูแลระบบใน AWS และไม่สามารถลบทุกอย่างหรือพูดว่าเริ่มการขุด crypto
หากคุณทำงานในบริษัทขนาดใหญ่ที่ทำงานเกี่ยวกับ AWS ฉันขอแนะนำให้คุณเข้ารับการฝึกอบรมเกี่ยวกับ AWS การฝึกอบรมออนไลน์สำหรับ AWS Architect Associate กับสถานที่เช่น Cloud Guru เป็นขั้นต่ำที่คุณต้องการ AWS มีความซับซ้อน ฉันทำงานใน AWS เต็มเวลามาหลายปีแล้ว แต่ฉันเรียนรู้สิ่งใหม่ๆ ทุกวัน
ก่อนอื่น คุณต้องมีนโยบายการเข้าถึงทรัพยากรที่กำหนดไว้ล่วงหน้า (เช่น SQS, EC2, ElastiCache เป็นต้น) หลังจากนั้น คุณสามารถเพิ่มผู้ใช้ด้วยการเข้าถึงทางโปรแกรมและจัดเก็บข้อมูลรับรองด้วยวิธีที่ปลอดภัย หรือใช้บทบาทเพื่อกำหนดให้กับบริการสำหรับการเข้าถึง ตัวอย่างเช่น: สร้างบทบาท IAM เพื่อเข้าถึง RDS และกำหนดให้กับอินสแตนซ์ ec2 จากนั้นลองเข้าถึงฐานข้อมูลของเราจากอินสแตนซ์ ec2
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
