2016-04-13 19 views
0

これを行う最も良い方法はわかりません。私はHerokuでホストされている多くのプロジェクトを持っています。これらのプロジェクトはすべて、静的ファイルストレージにAmazon S3を使用しています。それらはすべてルート証明書を使用してバケットにアクセスします(これは安全ではありません、私はそれを変更したい)。ルート証明書は、各HerokuアプリケーションにConfig Variablesとして保存されます。Amazon AWS。ルート資格情報からIAM認証への移行

私はルート証明書の使用をやめ、Amazon IAM Authを使用したいと考えています。私はこれに新しいです。アプリごとにUserを作成する必要がありますか?または、1人のユーザーを作成し、すべてのアプリがそのユーザーの資格情報を使用するようにする必要がありますか? Roleを作成し、そのバケットに権限を与える必要がありますか?または、Groupを作成する必要がありますか?

アドバイスは役に立ちます。

答えて

2

アクセス権を付与する必要のあるサードパーティアプリケーションごとに固有の認証情報を作成する必要があります。これにより、アクセスを個別に取り消すことができます。また、各アプリケーションには異なる権限が必要です。各サービスに固有の資格情報を持たせることで、権限を細かく設定できます。

サードパーティのアプリケーション(例えばHeroku)がそれらをサポートしている場合は、クロスアカウントIAMロールを作成して付与します。

  1. 「ロール」ページに移動します。
  2. [新しい役割の作成]をクリックします。
  3. ロールに名前を付けます。
  4. 「クロスアカウントアクセスの役割」で、「サードパーティのAWSアカウントのIAMユーザーがこのアカウントにアクセスできるようにする」を選択します。

クロスアカウントIAMロールをサポートしていない場合のみ、サービスのIAMユーザーを作成し、そのサービスに与えるアクセスキーを作成します。

  1. 「ユーザー」ページに移動します。
  2. [新しいユーザーを作成]をクリックします。

いずれの場合も、必要最小限のものに対してのみ許可を与えます。 管理者、スーパーユーザー、またはすべての権限をサードパーティに与えないでください。可能であればアスタリスク「*」を避けてください。

  1. 第三者から必要なアクセス許可を探します。理想的には、それはあなたに使用する方針を与えるでしょう。
  2. このポリシーを確認してください。サードパーティのサービスを盲目的に信用してはいけません。
  3. 作成したユーザーまたは役割にポリシーを適用します。

お読みおよび/またはあなたのAWSアカウントを変更するための他の誰かのためのアクセスを許可されている、覚えておいてください。あなたにもそれを破壊する許可を与えていないことを確認してください。

関連する問題