【发布时间】:2014-12-17 21:30:32
【问题描述】:
期望的结果:在听到许多恶意用户获得 AWS 账户访问权限并清除资源的恐怖故事后,我有兴趣创建一个可以将 RDS 快照和 EC2 AMI/卷复制到完全独立的 AWS 账户以供使用的系统作为“时间胶囊”或“冰冷恢复”站点。
安全基础知识:我对所有现有账户使用带有 MFA 的 IAM,并根据访问需要限制谁可以做什么。大多数用户对所有内容都有只读访问权限,少数是高级用户。我们从不使用 root 帐户。
初步发现:由于没有将 AMI 或快照复制到另一个帐户的本地方法,我目前的理解是,我需要使用我们当前的帐户来允许“保险库”帐户访问 AMI/快照,然后使用保管库帐户从 AMI/SS 启动实例/数据库,然后制作实例/数据库的另一个 AMI/SS,以便在另一个帐户中制作完整副本。
问题:
- 这很蠢吗?
- 有没有更好的办法?
- 是否有人知道可以通过简单方式实现此目的的服务或脚本解决方案?
我确信如果有足够的时间,我可以使用 SDK 并制作一些东西,但我很愿意不自己编写代码。
【问题讨论】:
-
相关,对于 RDS:stackoverflow.com/questions/18192609/…。您可以使用其他帐户 share an AMI,但不能使用 RDS 快照。您最好进行常规转储并将其传输到您其他帐户上的目标数据库。
标签: security amazon-web-services backup disaster-recovery