0

나는 Elastic Beanstalk과 SQS 큐와 같은 일부 환경 리소스를 자동으로 생성하는 새로운 기능을 사용하고 있습니다. 이것은 정말 편리하지만, 한 가지 문제가 있습니다. 환경을 "종료"하면 관련된 모든 자원도 제거됩니다.Elastic Beanstalk 리소스에 대한 액세스 + 보안 조언을 보호하는 방법은 무엇입니까?

나는이 계정을 관리 할 수있는 유일한 사람이지만, 항상 술에 취해서 (하하) CLI에서 잘못된 명령을 입력하거나 누군가 내 계정을 도용 할 수 있음에도 불구하고 정말 위험합니다.

1) 읽기와 자신을 위해 새로운 IAM 사용자를 만듭니다 :

내가 가장 적합한 하나를 알고 싶습니다, 내가 조금 편집증 해요,하지만 지금까지 내가 몇 가지 전략을 발견했습니다 수 있음 액세스 권한을 부여하고 기본 계정 (마스터)에 대해 2 단계 인증을 설정하므로 리소스를 만들어야하는 경우 더 나은 보안으로 마스터 계정에 반드시 로그인해야합니다.

2) Beanstalk에서 만든 주 EC2 인스턴스에서 종료되지 않도록합니다. 이 작업을 수행하면 실수로 Beanstalk 환경을 더 이상 종료 할 수 없습니다. 제 질문은 탄성 부하 분산 장치의 장점 중 하나는 비정상적인 인스턴스를 종료하고 새로운 인스턴스를 시작할 수 있다는 것입니다. 그러나 한 인스턴스가 "disallow termination"으로 설정되면 어떻게됩니까? 부하 분산 장치가 이것을 무시하고 새 인스턴스를 만들 수 있습니까?

3) 둘 다 수행합니까?

일반적으로이 항목에 대한 모범 사례는 무엇입니까?

답변 해 주셔서 감사합니다.

+0

인스턴스 생성 중에 이것을 수행하기 위해서'.ebextensions'를 사용하고 있습니까, 아니면'eb' 등으로 커스텀 설정 파일을 사용하고 있습니까? 또한 환경을 종료 할 때, 그리고 언제 저장하고 싶은 자원을 작성 하는지를 설명 할 수 있습니까? – tbjers

+0

예, .ebextensions를 사용하여 SQS 대기열을 만듭니다 (현재). 또한 Beanstalk이 자동으로 만들어지는 RDS를 사용합니다 (그러나 Beanstalk이 종료되면 관련 RDS 리소스를 제거하지 않는 옵션이 있지만 .ebextensions에 지정된 리소스에는 해당 옵션이 없습니다.) –

답변

1

불행히도 SQS 대기열은 종단 보호를 지원하지 않습니다.

2 가지 옵션 중에서 EB 클러스터가 완전히 삭제되지 않으므로 1)로 이동해야합니다.

설명 :

1) 나는 일상 작업에 대해 별도의 IAM 사용자를 설정하고 이중 인증을 사용하여 기본 계정을 보호하고 위/아래 새로운 EB 클러스터를 회전하는 것을 사용하는 것이 좋습니다.

2) Termination Protection을 사용하여 기본 EC2 인스턴스를 보호하더라도 EB 환경과 관련된 다른 중요한 리소스는로드 균형 조정기, 자동 조정 그룹 및 SNS 항목과 같이 종료됩니다.

나는 인스턴스, EB 환경, EB 응용 프로그램을 종료하지 못하도록하는 정책을 가진 IAM 계정이 있지만 "목표 두 번, 한 번만"철학을 따르는 것이 가장 간단한 해결책이라고 생각합니다. 비슷한 일은 일시적인 정신 이상의 순간에 자신에 대한 확실한 보호 일 것입니다.

희망적으로 도움이됩니다.

+0

안녕하세요, 덕분에 도움이됩니다.이 정책을 사용하여 다음 사용자 그룹을 완료 했으므로 어떤 것도 종료하거나 삭제할 수 없습니다. https://gist.github.com/bakura10/da100327710b0c394d41 잘 보입니까? –

+0

나는 그것을 좋아한다, 나는 그것을 좋아한다. 처음에는 Beanstalk 환경을 만들기 위해 루트 사용자에게 로그인해야합니다. 그런 다음 IAM 계정을 사용하여 모든 관리 작업을 수행 할 수 있습니다. 단, 모든 작업을 종료/삭제해야합니다. 나에게 꽤 제정신이 들린다. –

+0

그래, 그 IAM 구성도 나에게 잘 어울려! – tbjers