• Ogólne
  • Dla Architektów
  • Bezpieczeństwo

Jak przełączać się pomiędzy różnymi kontami AWS

20 kwietnia 2017Tomasz StachlewskiBezpieczeństwo

Posiadanie kilku niezależnych kont chmurowych niesie wiele korzyści, przede wszystkim możemy odseparować niezależne środowiska jak np. jedno konto dla środowiska deweloperskiego, drugie dla produkcji a trzecie to środowisko testowe. Dzięki takiemu rozbiciu, możemy zwiększyć bezpieczeństwo swojej infrastruktury poprzez zagwarantowanie, że np. użytkownicy z środowiska deweloperskiego nie uszkodzą przez przypadek środowiska produkcyjnego podczas wdrażania nowych aktualizacji aplikacji.

Innym przykładem rozbicia – jest odseparowanie pewnych elementów naszego środowiska chmurowego, które z punktu widzenia bezpieczeństwa powinno być niezależne – takimi przykładami może być konto, w którym będą definiowani wszyscy użytkownicy chmurowi oraz konto, do którego będą trafiały wszystkie logi z pozostałych kont chmurowych.

Wreszcie w przypadku większych firm, często różne działy organizacji posiadają własne konta AWS, dzięki czemu można uniezależnić pracę jednych od drugich.

Przy wszystkich tych zagadnieniach powstaje jednak jedno pytanie. Co jeśli dany użytkownik ma mieć dostęp do więcej niż pojedynczego konta? Czy należy utworzyć mu dedykowanego użytkownika na każdym koncie niezależnie i kazać mu zapamiętać wiele loginów i haseł? A może jest jednak łatwiejszy sposób? Aby zaradzić temu problemowi, AWS utworzył funkcjonalność o nazwie ‘Cross-Account Access’.

Załóżmy, że mamy dwa konta AWS, tak jak na poniższym schemacie. W ramach konta PRD utworzyliśmy użytkownika o loginie ‘jan.kowalski’ – który teraz powinien dostać również możliwość łatwego dostępu do konta DEV.

Pierwszym krokiem będzie utworzenie nowej roli w ramach konta DEV (!). To właśnie tę rolę będzie przyjmował użytkownik gdy będzie chciał uzyskać dostęp do drugiego konta (DEV). Aby utworzyć rolę, przechodzimy do usługi IAM (Identity and Access Management) – z poziomu której wyszukujemy zakładkę ‘Roles’ i wybieramy możliwość utworzenia nowej roli. Pojawi się prosty wizard, w którym w pierwszym kroku wybieramy opcję ‘Role for cross-account access’ a następnie pierwszą z pozycji.

W kolejnym kroku wizarda podajemy numer konta AWS, którego użytkownicy będą uprawnieni do wykorzystania tej roli. W naszym przypadku to numer konta PRD.

Kolejny krok to wybór uprawnień, jakie będą przypisane użytkownikom, którzy będą wykorzystywali tę rolę. W przykładzie poniżej przypisujemy takim użytkownikom wszelkie prawa administracyjne. W przypadku rzeczywistym powinniśmy kierować się zasadą ‘least privilege’ i ograniczyć uprawnienia do czynności niezbędnych i wymaganych do realizacji zadań na koncie DEV.

Ostatni krok wizarda to nadanie nazwy naszej roli. W naszym przypadku nadajemy jej nazwę ‘ProductionAccess’.

Po zatwierdzeniu nasza rola jest utworzona. Kolejnym krokiem będzie przejście do konta PRD (!) i jej wykorzystanie.  Z poziomu konta PRD z górnej belki wyboru wybieramy opcję  ‘Switch Role’ (aby opcja była dostępna musimy być zalogowani na użytkownika imiennego, nie na root-a).

W nowym oknie zostajemy poproszeni o wpisanie następujących parametrów:

  • numeru konta AWS, do którego będziemy się logować (w tym przypadku numer konta DEV)
  • nazwy roli utworzonej (w tym przypadku ‘ProductionAccess’)
  • własnej nazwy i koloru, aby łatwiej identyfikować to mapowanie. Pod tą nazwą i kolorem, mapowanie zostanie zapisane w naszej przeglądarce.

Po utworzeniu roli zostajemy przekierowani do konta DEV, dodatkowo możemy łatwo wrócić do konta pierwszego wybierając odpowiednią pozycję z belki górnej.

Jeśli ponownie zajdzie potrzeba przelogowania się do konta drugiego, to w belce będzie link umożliwiający szybkie przelogowanie do drugiego konta. Mapowanie to zapisywane jest w przeglądarce, zatem w przypadku wykorzystania innego komputera, może nie być ono zapamiętane.

: Cross-Account Access, IAM, Identity and Access Management, Role, Roles, Switch Role
Tomasz Stachlewski
Architekt systemów IT na Polskę dla Amazon Web Services. Na co dzień doradza klientom w tworzeniu architektur systemów, które mają zostać zmigrowane lub utworzone w chmurze AWS i w pełni wykorzystywać możliwości jakie niesie ze sobą chmura. Doradza wielu wiodącym firmom (począwszy od startupów po korporacje) z różnych branż m.in. IT, telekomunikacja, finanse. Prowadzi szkolenia dla polskich i zagranicznych partnerów podczas których przekazuje w jaki sposób firmy powinny korzystać z chmury, jak powinna wyglądać ich droga z tradycyjnej infrastruktury do infrastruktury chmurowej, aby zmaksymalizować korzyści z tego płynące. Absolwent informatyki na Politechnice Łódzkiej oraz studiów podyplomowych z zarządzania projektami na SGH.

Related Articles

Wprowadzenie do AWS Cognito – konfiguracja środowiska programistycznego dla .NET

4 kwietnia 2017Robert Senktas

Budowanie prostego schedulera serwerów EC2

11 sierpnia 2017Tomasz Stachlewski

Kto utworzył ten serwer?!

13 lipca 2017Tomasz Stachlewski

Najnowsze wpisy

  • Wiosenne porządki z AWS Glue cz.3 4 września 2018
  • Jak przyśpieszyć ładowanie zawartości stron WWW? 28 czerwca 2018
  • Wiosenne porządki z AWS Glue cz.2 22 czerwca 2018

Szkolenia AWS

  • Kursy wprowadzające
  • Dla Architektów
  • Dla Developerów
  • SysOps
  • DevOps
  • Big Data
  • Bezpieczeństwo

ACTION Centrum Edukacyjne

Znajdź nas na:

Facebook
LinkedIn
YouTube
RSS

Copyright by ACTION Centrum Edukacyjne Sp. z o.o.