我们有四个不同的项目,每个项目都有自己独立的dev、qa和live环境。
目前,我们正在使用GCP来托管所有这些。在GCP中,我们有4个不同的";GCP项目";。在我们当前的设置中:
- 一个用户可以是多个项目的一部分
- 我们对所有4个项目进行了合并计费
现在,我们正在迁移到AWS。
在AWS中,我们可以创建组织和组织单元。我们可以有一个组织,每个项目有4个组织单元,也可以有4个不同的组织,但我们希望在同一个帐户下管理所有4个项目。因此,这对我们不起作用。
我发现的另一种方法是使用标记。
我们可以将每个资源标记为project1-dev、project3-live等。
可以为每个标签创建IAM组,如project1-dev、project2-live等。然后我们可以将IAM用户分配到多个组。
这听起来是一个好方法,还是有更好的解决方案?
-
限制是成员帐户在任何给定时间只能是单个组织或组织单元的一部分这是正确的,但您可以使用授予读取/创建/修改其他帐户中资源的权限资源政策。
使用基于资源的策略,您可以指定谁有权访问资源以及他们可以对资源执行哪些操作。要了解是否在您的信任区域之外的帐户中的主体(受信任的组织或帐户(有权承担您的角色
更多信息→访问策略标识与资源
-
另一种解决方案是创建4个组织并创建一个在每个组织中向开发人员/QA/用户提供帐户个人在其计算机上使用可以轻松切换的命名配置文件作为
C:> setx AWS_PROFILE development或C:> setx AWS_PROFILE QA参考