Developers

研发人员

研发人员负责开发,维护,调试你的DevOps供应链,没有一个统一的策略你可以完美复用,需要持续改进和调优。因此需要用到tag来控制权限,具体如何用tag控制权限可以参见此处,如何设计tag参见此处

开发项目中所使用的任何资源包括IAM role,IAM user,EC2,EKS,RDS等的tag设计至少包含:

  • 环境,比如生产/测试,workload: test

  • 研发团队,比如dev-team: dev01

  • 项目名称:application: xxapp

  • 负责人,可以是研发经理也可以是产品经理,如果资源出现问题可以找谁解决:owner: someone

安全团队不是负责人,出现安全问题不应该觉得是仅仅是安全的责任,这是错误的认知。安全只是辅助大家将安全这个工作做好,因此,项目或者资源出现的任何安全问题,应该由负责人来承担责任,可以是研发经理也可以是产品经理,看谁权利更大,则责任也将更大。

因为,1. 安全团队不知道为什么要这么设计,是否有什么特殊的业务逻辑需要满足。2. 安全团队人手往往不足,不能时时刻刻盯着代码。

- 测试环境中

允许研发创建,删除EC2,EKS,RDS等资源,方便调试和测试。

创建的资源不允许修改标签,避免控制措施和安全检查失效;

S3存储桶不允许开放至公网,可以添加SCP限制配置S3的权限,仅允许创建和删除。

允许查看测试环境的RDS数据。

- 生产环境中

仅允许重启服务器,不允许删除任何资源;

不允许查看生产RDS数据;

上一页IAMAdmin下一页KMS Admin

最后更新于