【发布时间】:2017-11-28 16:17:43
【问题描述】:
我正在寻找可以在 oauth 之后以编程方式为其他 AWS 用户启动实例的东西。亚马逊提供这样的东西吗?所以他们只需使用 AWS 帐户登录,然后我就可以代表他们拨打 AWS 电话。
有这样的东西吗?
【问题讨论】:
标签: amazon-web-services amazon-ec2 deployment oauth amazon-elastic-beanstalk
我正在寻找可以在 oauth 之后以编程方式为其他 AWS 用户启动实例的东西。亚马逊提供这样的东西吗?所以他们只需使用 AWS 帐户登录,然后我就可以代表他们拨打 AWS 电话。
有这样的东西吗?
【问题讨论】:
标签: amazon-web-services amazon-ec2 deployment oauth amazon-elastic-beanstalk
这里没有登录。您需要一个cross-account role,由其他帐户的所有者提供。
【讨论】:
没有这样的事情。
这将产生巨大的安全隐患。
请注意,AWS 中的主要实体不是用户,而是“账户”。账户有用户,这些用户只能做账户授权他们做的事情。
对于一个 AWS 账户(“我的”)允许另一个 AWS 账户(“您的”)代表我的账户(从技术上讲,而不是代表“我”)执行操作,我必须明确授予您权限这样做,通过 IAM。一种解决方案是创建一个具有必要权限和delegate access to you 的角色。
但这不太可能是消息灵通的用户所允许的,因为您很容易为用户增加大量费用。允许这种外部访问不是一个好习惯。
但是,用户可以通过 AWS Marketplace 在 EC2 上启动您的软件并选择向您支付由 AWS 代您收取的许可费,这种方式旨在为用户提供一键式体验.
【讨论】:
AssumeRole 的凭据时,您将获得临时凭据,允许您获得他们授予的委派权限。