Spinnaker User Authorization и Ограничения Разрешения Экземпляра

Question

Spinnaker User Authorization и Ограничения Разрешения Экземпляра

Я пытаюсь Spinnaker выпекать и развертывать AMI в AWS Auto Scaling Group. Проблема в том, что экземпляру нужно слишком много разрешений. Как указано в сообщении в блоге Spinnaker (т. Е. "В современном мире часто считается плохой практикой предоставлять инструментам полный доступ к вашим средам"), я хочу знать, существует ли способ ограничить разрешения экземпляра Spinnaker, но при этом разрешить пользователям развертывать свои приложения в своих кластерах, например, если они уполномочены делать это в AWS.

Конечно, в документе сказано, что вы можете ограничить доступ к приложениям, но достаточно ли этого? Может ли член приложения A каким-либо образом (например, на стадии конвейера) вызывать API-интерфейсы AWS с использованием разрешения Spinnaker? (следовательно, возможность изменять кластеры приложения B). Допустим, SSH-доступ к экземпляру Spinnaker уже отключен

0

amazon-web-services autoscaling spinnaker least-privilege

Источник

user6716368 06 окт '17 в 02:52

1 ответ

Решение

Другие вопросы по тегам amazon-web-services autoscaling spinnaker least-privilege

user5569046 11 окт '17 в 17:48 2017-10-11 17:48 · Accepted Answer · 2017-10-11 17:48

При правильной настройке авторизации член приложения A не сможет изменять приложение B, если у него нет разрешения (см. Здесь). Эта защита действует на уровне приложений Spinnaker, а не на уровне платформы облачного провайдера (EC2).

Spinnaker был спроектирован с использованием учетных данных "режима бога", поэтому фактически те же учетные данные используются для управления облачными ресурсами приложений A и B.