Upgrade to Pro — share decks privately, control downloads, hide ads and more …

The approach to organizing your AWS account, de...

dokuritsushin
September 12, 2019
Education
1
48

The approach to organizing your AWS account, delegating access to IAM, CI/CD to grant developers direct access to AWS

The approach to organizing your AWS account, delegating access to IAM, CI/CD to grant developers direct access to AWS

dokuritsushin

September 12, 2019
Tweet

Other Decks in Education

See All in Education
MLH Hackcon: Keynote (2024)
theycallmeswift
0
180
Design Guidelines and Models - Lecture 5 - Human-Computer Interaction (1023841ANR)
signer
PRO
0
650
Skynet to Schoolnet
draycottmc
0
160
オープンソース防災教育ARアプリの開発と地域防災での活用
nro2daisuke
0
140
2024年度春学期 統計学 第13回 不確かな測定の不確かさを測る ― 不偏分散とt分布 (2024. 7. 4)
akiraasano
PRO
0
160
The Gender Gap in the Technology Field and Efforts to Address It
codeforeveryone
0
140
自己紹介 / who-am-i
yasulab
2
4.1k
Medicare 101 for 2025
robinlee
PRO
0
130
cbt2324
cbtlibrary
0
110
セキュリティ・キャンプ全国大会2024 S17 探査機自作ゼミ 事前学習・当日資料
sksat
3
810
SQL初級中級_トレーニング【株式会社ニジボックス】
nbkouhou
0
16k
Flinga
matleenalaakso
2
13k

Featured

See All Featured
How to Think Like a Performance Engineer
csswizardry
19
1.1k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Practical Orchestrator
shlominoach
186
10k
Designing the Hi-DPI Web
ddemaree
280
34k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
31
2.6k
The Pragmatic Product Professional
lauravandoore
31
6.3k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
231
17k
Music & Morning Musume
bryan
46
6.1k
A better future with KSS
kneath
238
17k
A Modern Web Designer's Workflow
chriscoyier
692
190k
Writing Fast Ruby
sferik
626
60k

Transcript

  1. The approach to organizing your AWS account, delegating access to

    IAM, CI/CD to grant developers direct access to AWS Александр Глущенко CloudOps Team and Technical Lead в Provectus

  2. I. Вступление II. Эволюция работы с IAM III. Шаги развития

    IV. Возможности AWS, которые могут улучшить наши флоу V. Наша cтратегия работы с IAM Agenda

  3. I. Делегировать ответственность для app-specific IAM владельцам продукта II. Использовать

    средства превентивного контроля как сервис III. Использовать всю мощь SCP и permissions boundaries для обеспечения свободы разработчиков Ключевые цели

  4. I. Дать возможность разработчикам экспериментировать II. Минимизировать возможность повышения привилегий

    III. Освободить время сотрудника ответственного за безопасность IV. Обеспечить проверяемость политик Наши задачи

  5. Обычное workflow

  6. Развитие подходов к работе с IAM Раньше • Делегирование ограничено

    или отсутствует • Старая модель waterfall • Ручное согласование и длительный процесс развертывания Сейчас • Делегирование возможностей владельцам ресурсов • Безопасность как код • Ограничение только критических уязвимостей

  7. Делегирование IAM разработчикам Service control policy Permissions boundary Role1 Role2

    Role3

  8. Автономность команд разработки

  9. Структура AWS организации

  10. Доступные варианты политик Service control policy • Присоединяется к OU,

    аккаунтам • Определяет максимальные разрешения для всех identities внутри аккаунта • Ограничивает разрешения в identities и resource-based policy • Не предоставляет никаких разрешений

  11. Доступные варианты политик Permissions boundary • Присоединяется к пользователям, ролям

    • Определяет максимальные разрешения которые может предоставить identity-based policy. • Не ограничивает разрешения предоставленные в resource-based policy • Не предоставляет никаких разрешений

  12. Доступные варианты политик Identity-based policy • Присоединяется к пользователям, группам,

    ролям • Предоставляет разрешения к связанному identity • Обычно используется для предоставления доступа

  13. Доступные варианты политик Resource-based policy • Присоединяется к ролям, S3

    бакетам, ключам, и т.д. • Предоставляет разрешения для определенного Principal (даже в другом аккаунте)

  14. Эффективность ограничений SCP Identity-based policy Permissions boundary Конечные ограничения •

    Защищает ресурсы • Показывает что находится за пределами разрешений • Ограничивает возможности

  15. Всем спасибо! Александр Глущенко CloudOps Team and Technical Lead в

    Provectus Linkedin: https://www.linkedin.com/in/alex-glushchenko/