V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  xiaket  ›  全部回复第 9 页 / 共 80 页
回复总数  1600
1 ... 5  6  7  8  9  10  11  12  13  14 ... 80  
2021-06-15 11:15:26 +08:00
回复了 xiaket 创建的主题 Amazon Web Services 分享一下我们用代码来管理多个 AWS 账号的实践
@vindurriel 因为 toml 是有可能进 stdlib 的, 而 PyYAML, 我看过源码, 有点一言难尽...

为什么你认为 eventbridge 跨账号传数据风险比 IAM 更高? 就我的理解, 一个账号是一个容器, 或者可以理解为一台服务器. 如果给了跨账号 assume-role, 类似于给用户提供了远程登录的接口, 而提供 eventbridge 的入口更像是通过 API 提供了服务. eventbridge 跨账号传数据应该是在 aws 的 control plane 层面传, 不走公网, 而且我们做了 resource policy, 不接受来自无关账号的消息.
2021-06-15 10:38:06 +08:00
回复了 xiaket 创建的主题 Amazon Web Services 分享一下我们用代码来管理多个 AWS 账号的实践
@whileFalse @akira 感谢两位的兴趣, 请允许我解释一下(看来我文章里面没有说清楚, 这一段回头也得加进去).

我们做这样设定的初衷是为了安全, 首先, 我们觉得 IAM User 不够安全, 所以我们设立了一个登录账号, 专门用来对接我们的 sso 服务. 用户 assume 了一个登录账号里的一个 IAM Role, 然后再 assume 另外一个 role, 去到他 /她真正要使用的账户.

然后, 我们做这些设定是认为总有一天我们的某一个账号会因为误用而导致被人拿到 Administrator 级的权限, 那么为了减少相关的影响, 我们不应该把所有的服务全部放到一个账号里面, 甚至也不应该把所有生产环境下的服务放到一个账号里去. 因为如果一个服务被人拿到权限, 那么所有的服务都会受影响, 因此, 多账号对于我们而言是必要的. 我上面写的这篇文章就是针对多个 AWS 账号的管理的一个方案, 这种方案各个公司多少都有, AWS 甚至还有 Control Tower 服务可以供使用, 但是我们觉得用 Eventbridge 来管理更适合我们.

如果你使用了多个 AWS 账号, 在费用上不会增加特别多, 真正增加的是你的管理成本, 尤其是几年之后你是否还能有效地管理这样的多账号环境, 每个账号里是否有配置漂移的情况, 我们觉得使用一个 DSL 并使用 CICD 来强制收敛是一个更好的选择.

@whileFalse 单独回答一下你的疑问. 我们不是做 SAAS, 在 AWS 层面, 也不是一个用户一个账号. 作为程序员, 张三和李四都可以通过两次 assume role 进入到要用的同一个账户里面去, 第二次 assume role 时使用的 Role 也是一样的. 方便讨论, 我们来一个假设的场景吧. 一个游戏公司里有多个工作室, 每个工作室有三个账号, 一个开发, 一个外部测试, 一个生产. 现在我们新开了一个工作室, 要加新 AWS 账号. 那么我们会要求主程去一个 repo 提一个 PR, 在一个 yml 文件里面添加新账号的定义. Infra 批了 PR 后进入自动化流程. 回头来看你的评论, 我不太确认你说的权限应该在 Code 层面完成是什么意思. 不过我认可你说的 merge 之后这个操作是被 Infra 同学认可了. 但是, 我们目前这个自动化流程是跑在专门的 cicd 账号里的, 不是 master, 所以没有办法直接创建 AWS 账号. 我们通过文章里提到的办法通过发消息来让 cicd 账号控制 master 账号, 创建新 AWS 账号. 至于这个账号里面的 Admin Role, 都是允许从那个特殊的`identity`账号来 assume role, 具体谁有权限是在那个账号管理的. 或者之前一篇文章里的一个图能够帮助你的理解: https://blog.xiaket.org/media/2020/okta-identity-destination.png

谢谢你们的提问, 让我意识到文章里面还有缺失的地方, 解释工作做得不够好, 我晚上改改.
2021-06-14 16:51:59 +08:00
回复了 xiaket 创建的主题 Amazon Web Services 分享一下我们用代码来管理多个 AWS 账号的实践
@xupefei 谢谢, 我们自己实现 jsonnet 那层逻辑也不算太大负担, 我现在只是有点后悔没用 toml.
你用云服务前不查一下收费方式的吗? 心真大...
2021-06-14 15:17:51 +08:00
回复了 xiaket 创建的主题 Amazon Web Services 分享一下我们用代码来管理多个 AWS 账号的实践
@joesonw 谢谢! 我们的全部基础设施也都在 aws 上. 看过 ConsoleMe, 不太喜欢这种自助式服务, 因为担心配置漂移, 另外我们还没有到那种需要为几百几千个人提供访问权限的程序.
2021-06-14 15:15:55 +08:00
回复了 xiaket 创建的主题 Amazon Web Services 分享一下我们用代码来管理多个 AWS 账号的实践
@Cabana 我是先用英文写的, 这两天放假有空全部人肉翻译了一遍再校对润色了一遍.
2021-06-14 15:14:51 +08:00
回复了 xiaket 创建的主题 Amazon Web Services 分享一下我们用代码来管理多个 AWS 账号的实践
@wandehul @gtx990 这篇要点在于提供了多账号管理且不需要跨账号 assume role 的方式, 和是否使用 cdk/tf 没什么关系.
2021-06-14 11:17:17 +08:00
回复了 xiaket 创建的主题 Amazon Web Services 分享一下我们用代码来管理多个 AWS 账号的实践
`strace chmod 777 -v cwzdy.com`看看?
无聊在自己家里面电脑上连去 PS5, 玩 GPSports 卡到怀疑人生...
床前? 这是故意写错的?
2021-05-27 08:30:25 +08:00
回复了 sn0w 创建的主题 macOS 求个人用 项目/工作/规划/目标 进度管理的 macOS 和 iOS app
ticktick
2021-05-25 18:33:02 +08:00
回复了 zzx0403 创建的主题 PlayStation 5 预售和 15 号的抢购都没抢到
我在澳洲, 根据我在这儿买 PS5 的经验来说, 放货是一批一批的. 每一批到货时会有零售商放出来. 我在这儿关注 twitter 上的几个账号, 收到提醒时下手买就行了. 所以还比较简单, 国内竞争激烈, 而且渠道相对感觉会更不透明, 所以祝诸位好运...

当然最近几周 ps5 放货好像比较多了. 虽然(本地)仍然是不到一小时售罄, 但是总比之前几分钟卖完要好多了.

ref: https://blog.xiaket.org/2021/2104.html#ps5
2021-05-25 08:40:52 +08:00
回复了 xtx 创建的主题 问与答 中式家庭厨房刀具如何选择?
我最近是买了 vg10 的三德刀, 一两个月磨一次.
2021-05-17 14:15:10 +08:00
回复了 abersheeran 创建的主题 Python 村通网 - Python -powered, cross-platform, Unix-gazing shell
很久很久以前看过, 对一个新的 DSL 完全不感兴趣. bash 是工业标准, 如果说未来前端的 js 还有可能会被替代的话, bash/sh 语法是基本肯定不会被替代的, 所以作为一个后端人员, 掌握 bash 是必须的, 而 bash 里面就已经够多坑了, 没必要开新坑.
2021-05-14 11:50:31 +08:00
回复了 pxiphx 创建的主题 Linux 关于 rsync 的新发现
仔细看 man, 有-c 的
2021-05-13 20:36:40 +08:00
回复了 AoEiuV020 创建的主题 程序员 把 app 部分功能开关放在域名 txt 记录中如何?
各级 DNS 缓存无法控制, DNS 服务器为了压榨性能故意不遵守协议里的 TTL 长期缓存下去你拿它真没什么办法. 这种 TTL hack 只能用于不太重要的功能. 重要的功能比如版本升级判定, 搞个很小的 json 放 cdn 会更好.
2021-05-12 13:35:18 +08:00
回复了 blueorange 创建的主题 DevOps 推荐一款 ssh 终端
转念一想, 自己有好多年没这样并行跑命令了...
2021-05-12 08:28:42 +08:00
回复了 shidenggui 创建的主题 分享创造 元思笔记 - 打造自生长的知识网络
等 iOS 版, 会有 testflight 吗?
2021-04-30 09:23:59 +08:00
回复了 fl2d 创建的主题 Apple Podcast 每一次升级,都会变得难用一点
Castro 也挺好用
1 ... 5  6  7  8  9  10  11  12  13  14 ... 80  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2411 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 34ms · UTC 15:46 · PVG 23:46 · LAX 07:46 · JFK 10:46
Developed with CodeLauncher
♥ Do have faith in what you're doing.