我是 AWS 新手。
我在 AWS 账户的 EC2 上运行一个应用程序,该应用程序是为客户构建的。我希望客户能够以某种方式支付 EC2 实例的每月运营成本,同时仍让我完全控制运营。有没有办法让第三方账户能够支付特定 EC2 实例的账单?如果没有,建议采取哪些解决方法?
澄清,从评论中复制
为了澄清我的需求,我是一名承包商,为一家公司开发了一个应用程序。最初雇用我的人已被公司解雇,财务部门正在质疑我的发票。我想允许该公司在我们解决此事期间使用该应用程序,但仍希望能够控制该应用程序,以防他们做坏事。我不想承担运营成本,但仍允许他们在审核过程中运行该应用程序
答案1
简短答案 客户拥有该账户(包括管理员权限),并仅授予您所需的权限。根据以下条件创建 IAM 策略这个问题,将其附加到一个组,将您的用户放入该组中,确保您没有其他权限。如果您需要 SSH 访问,您拥有 EC2 实例的私钥。
长答案
如果您需要访问单个 EC2 实例,那么您只需让客户拥有该帐户,并且您拥有一个私钥即可登录该实例。
如果您需要控制台访问权限,则需要 IAM 用户,该用户具有允许不同用户进行特定访问的策略。客户将拥有该帐户,并且根据标准,他们将拥有所有者帐户(他们不使用其计费访问权限)和管理员帐户(用于日常管理)。
管理员帐户会创建一个策略,授予您 EC2 访问权限。这将授予您控制台访问权限,并可以授予您启动和停止特定实例或任何实例的权限。它实际上非常细粒度,可以通过实例 ID、标签或各种事物进行限制。
通常我会创建一个或多个策略,将它们分配给组,然后将用户添加到该组。如果您有多个用户,这会让事情变得更容易。
AWS 具有 EC2 的 IAM 策略信息这里. 有一些示例政策这里和这里。没有一个是完全正确的。回答这个问题可能非常接近您的需要。
IAM 的复杂程度适中,而且存在一些问题。您可以阅读文档并观看 Re:Invent IAM 会议。您可以付钱让有资格的人为您做这件事。如果您的问题足够具体,说明您真正需要什么,我可能会写一个策略,但您最好自己理解它。您可能可以通过文档、Re:Invent 和 IAM 策略生成器来弄清楚。AWS 网站上会有很多预先写好的策略。
根据评论更新
在这个情况下整合帐单是最好的解决方案。这意味着组织可以在不访问账户的情况下支付账单。如果他们拥有账户并授予您访问权限,他们就有完全访问权限,这在这种情况下似乎并不理想。
答案2
您可以使用AWS 组织中的合并账单
另一种选择是使用 IAM 角色对单个帐户的计费和管理访问进行细分,将一个角色限制为计费相关策略,将另一个角色限制为运营和工程任务。