Jak przełączać się pomiędzy różnymi kontami AWS

Posiadanie kilku niezależnych kont chmurowych niesie wiele korzyści, przede wszystkim możemy odseparować niezależne środowiska jak np. jedno konto dla środowiska deweloperskiego, drugie dla produkcji a trzecie to środowisko testowe. Dzięki takiemu rozbiciu, możemy zwiększyć bezpieczeństwo swojej infrastruktury poprzez zagwarantowanie, że np. użytkownicy z środowiska deweloperskiego nie uszkodzą przez przypadek środowiska produkcyjnego podczas wdrażania nowych aktualizacji aplikacji.

Innym przykładem rozbicia – jest odseparowanie pewnych elementów naszego środowiska chmurowego, które z punktu widzenia bezpieczeństwa powinno być niezależne – takimi przykładami może być konto, w którym będą definiowani wszyscy użytkownicy chmurowi oraz konto, do którego będą trafiały wszystkie logi z pozostałych kont chmurowych.

Wreszcie w przypadku większych firm, często różne działy organizacji posiadają własne konta AWS, dzięki czemu można uniezależnić pracę jednych od drugich.

Przy wszystkich tych zagadnieniach powstaje jednak jedno pytanie. Co jeśli dany użytkownik ma mieć dostęp do więcej niż pojedynczego konta? Czy należy utworzyć mu dedykowanego użytkownika na każdym koncie niezależnie i kazać mu zapamiętać wiele loginów i haseł? A może jest jednak łatwiejszy sposób? Aby zaradzić temu problemowi, AWS utworzył funkcjonalność o nazwie ‘Cross-Account Access’.

Załóżmy, że mamy dwa konta AWS, tak jak na poniższym schemacie. W ramach konta PRD utworzyliśmy użytkownika o loginie ‘jan.kowalski’ – który teraz powinien dostać również możliwość łatwego dostępu do konta DEV.

Pierwszym krokiem będzie utworzenie nowej roli w ramach konta DEV (!). To właśnie tę rolę będzie przyjmował użytkownik gdy będzie chciał uzyskać dostęp do drugiego konta (DEV). Aby utworzyć rolę, przechodzimy do usługi IAM (Identity and Access Management) – z poziomu której wyszukujemy zakładkę ‘Roles’ i wybieramy możliwość utworzenia nowej roli. Pojawi się prosty wizard, w którym w pierwszym kroku wybieramy opcję ‘Role for cross-account access’ a następnie pierwszą z pozycji.

W kolejnym kroku wizarda podajemy numer konta AWS, którego użytkownicy będą uprawnieni do wykorzystania tej roli. W naszym przypadku to numer konta PRD.

Kolejny krok to wybór uprawnień, jakie będą przypisane użytkownikom, którzy będą wykorzystywali tę rolę. W przykładzie poniżej przypisujemy takim użytkownikom wszelkie prawa administracyjne. W przypadku rzeczywistym powinniśmy kierować się zasadą ‘least privilege’ i ograniczyć uprawnienia do czynności niezbędnych i wymaganych do realizacji zadań na koncie DEV.

Ostatni krok wizarda to nadanie nazwy naszej roli. W naszym przypadku nadajemy jej nazwę ‘ProductionAccess’.

Po zatwierdzeniu nasza rola jest utworzona. Kolejnym krokiem będzie przejście do konta PRD (!) i jej wykorzystanie.  Z poziomu konta PRD z górnej belki wyboru wybieramy opcję  ‘Switch Role’ (aby opcja była dostępna musimy być zalogowani na użytkownika imiennego, nie na root-a).

W nowym oknie zostajemy poproszeni o wpisanie następujących parametrów:

• numeru konta AWS, do którego będziemy się logować (w tym przypadku numer konta DEV)
• nazwy roli utworzonej (w tym przypadku ‘ProductionAccess’)
• własnej nazwy i koloru, aby łatwiej identyfikować to mapowanie. Pod tą nazwą i kolorem, mapowanie zostanie zapisane w naszej przeglądarce.

Po utworzeniu roli zostajemy przekierowani do konta DEV, dodatkowo możemy łatwo wrócić do konta pierwszego wybierając odpowiednią pozycję z belki górnej.

Jeśli ponownie zajdzie potrzeba przelogowania się do konta drugiego, to w belce będzie link umożliwiający szybkie przelogowanie do drugiego konta. Mapowanie to zapisywane jest w przeglądarce, zatem w przypadku wykorzystania innego komputera, może nie być ono zapamiętane.