توجد طريقتان رئيسيتان لإدارة وصول الموظفين إلى حساب AWS لشركتك - مستخدمي IAM ومؤسسات AWS. لكل منهما استخداماته ، لكن من المهم إبراز الاختلافات أثناء التخطيط لهيكل أذونات AWS الخاص بك.
إجابة قصيرة: كلاهما ، في الواقع
أيهما يجب أن تستخدم؟ الإجابة هي كلاهما ، لأن مستخدمي IAM ومؤسسات AWS يقومون بأشياء مختلفة. على الرغم من أنها متشابهة على السطح ، إلا أنها مصممة لأهداف مختلفة.
يعد مستخدمو IAM طريقة رائعة لإدارة الوصول للموظفين. أنها تمكنك من مصادقة الموظفين على "حساب فرعي" بأذونات محدودة. يعد نظام إدارة الأذونات هذا ضروريًا لتقسيم وصول الموظفين إلى موارد AWS الخاصة بك.
يستخدم مستخدمو IAM أيضًا لمصادقة حسابات الخدمة. على سبيل المثال ، إذا كنت قد قمت بتشغيل AWS CLI على مثيل EC2 وتريد منحه حق الوصول لإدارة حاوية S3 ، فيمكنك القيام بذلك مع مستخدم IAM حتى لا تضطر إلى ترك بيانات اعتماد حساب الجذر الخاص بك على خادم بعيد
مؤسسات AWS تفعل شيئًا مشابهًا. يمكّنك من إنشاء حسابات فرعية حقيقية فعلية منفصلة تمامًا عن الحساب الرئيسي ، كاملة بأذوناتها الخاصة ، وكل ذلك مع الحفاظ على الفوترة المركزية والتحكم. قد تعتقد أن هذه ستكون طريقة رائعة لمنح الموظفين إمكانية الوصول ، لكن المنظمات غير مخصصة لذلك.
المشكلة الرئيسية هي أنك مقيد بأربعة حسابات بشكل افتراضي. بينما يمكنك طلب زيادة الحد ، يكون الحد هنا لسبب - جميع حسابات مؤسستك منفصلة تمامًا. هذا يعني أنه إذا كان لديك مطور يعمل على جدول DynamoDB في حسابه الخاص ، فسيكون غير مرئي لكل موظف آخر.
ما تريده حقًا هو أن يعمل جميع موظفيك معًا في بيئة مشتركة. سيكون أفضل إعداد لأي عمل تقريبًا كما يلي:
- استخدم مؤسسات AWS ، وأنشئ حسابات منفصلة للتطوير والإنتاج. هذا يزيل بعض الضغط عن مطوريك ، ويمكّنك من منحهم أذونات أكثر تراخيًا في بيئة التطوير دون خوف من أن يفسدوا خوادم الإنتاج الخاصة بك.
- قد ترغب أيضًا في إنشاء بيئتين أخريين: الاختبار ، الذي يحتوي على بيانات وهمية نظيفة ويستخدمه فريق التيسير الكمي لتشغيل الإنشاءات الآلية ؛ والتشغيل ، مرآة كاملة للإنتاج تستخدم للقبض على أي أخطاء قد تنشأ باستخدام واجهات برمجة التطبيقات العامة والبيانات الحقيقية قبل أن تؤثر فعليًا على العملاء.
- ضمن بيئة التطوير ، أنشئ العديد من مستخدمي IAM لمنح وصول مُدار لموظفيك.
- كرر نفس العملية لفريق التيسير الكمي الخاص بك في الاختبار ، ولمديري المشاريع ومهندسي الحلول في التدريج. يجب أن يتم تحديث الإنتاج فقط من قبل الأفراد المصرح لهم للغاية ، وبالطبع يحتوي على حسابات خدمة IAM التي يحتاجها للعمل بشكل صحيح.
يجمع هذا الهيكل بين مزايا كلا النوعين من الحسابات ، ويبدو أنه كيف تريد AWS منك إعداده ، نظرًا لقاعدة الحسابات الأربعة (افتراضيًا) لمؤسسة AWS.
