IAMの役割とユーザー - ベストプラクティス

Question

私は10人の開発者をサポートします。これらの開発者は、（Spotifyのような）コール部隊や部族では別です。したがって、各部族（一般的なタスクを共有するユーザーのグループのようなもの）は、AWSリソースに対する一連の権限を必要とします。開発者がアプリケーションをデプロイすると、 Ec2インスタンスでは、ec2インスタンスの役割を引き受けます。このデベロッパーが自分のdevマシンを使ってアプリケーションをテストし開発するとき、ec2インスタンスのようなawsリソースにアクセスする必要があります。だから正しいアプローチは何ですか？ユーザーやグループのようにこの開発者に許可を与えたり、ec2インスタンスのような役割を引き受けるようにしますか？

Answer 1

開発者がローカルで開発している場合は、IAMユーザー/グループのアクセス許可のみを使用できます。彼らはEC2インスタンス上にないので、役割を担うことはできません。つまり、それらはすべてDeveloperというIAMグループに属しています。

開発者グループでは、開発に必要な管理ポリシーまたはカスタムポリシーのセットをユーザーに付与します。彼らはIAMポリシーp1, p2, p3を持っていて、彼らは彼らが必要とするテストリソースにアクセスできるようにします。

AWSのテスト環境または開発環境にデプロイする場合は、各インスタンスに役割、たとえばAppServerを指定します。 AppServerロール/プロファイルには、同じIAMポリシーp1, p2, p3を関連付けることもできます。

このように、ローカルの開発者は、導入されたインスタンスと同じポリシーを持ちます。