Amazon web services 如何创建动态AWS环境和拆卸?
我知道这听起来可能是个基本问题,但我还没想好该怎么办 我们正在开发一个测试环境,用于筛选云工程师和BigData面试的候选人 我们正在考虑使用Cloudformation服务创建按需AWS环境,并测试用户是否能够在环境中执行特定任务,如使用boto3创建s3存储桶、分配角色、创建安全组等 但一旦筛选完成,我们希望自动拆除之前创建的整个设置 可能有多个考生同时参加考试。我们希望创建环境(可能包含其他用户看不到的ec2实例、s3 bucket等),并在测试完成后将其拆除 我们考虑使用IAM角色为每个候选人动态创建IAM用户,并在测试完成后自动创建堆栈并删除这些用户 但是,我认为用户将能够看到其他用户创建的资源,这不是我们所期望的 有没有其他更好的方法可以用来创建这些环境或实验室并为用户删除它们?类似于IT大学和Qwiklabs 登录的用户应该可以访问和查看仅为其创建的资源 请建议 查询1: 假设我已经使用创建了10个Amazon web services 如何创建动态AWS环境和拆卸?,amazon-web-services,boto3,amazon-iam,aws-userpools,Amazon Web Services,Boto3,Amazon Iam,Aws Userpools,我知道这听起来可能是个基本问题,但我还没想好该怎么办 我们正在开发一个测试环境,用于筛选云工程师和BigData面试的候选人 我们正在考虑使用Cloudformation服务创建按需AWS环境,并测试用户是否能够在环境中执行特定任务,如使用boto3创建s3存储桶、分配角色、创建安全组等 但一旦筛选完成,我们希望自动拆除之前创建的整个设置 可能有多个考生同时参加考试。我们希望创建环境(可能包含其他用户看不到的ec2实例、s3 bucket等),并在测试完成后将其拆除 我们考虑使用IAM角色为每个
IAM角色IAM角色1vpcEC2实例S3IAM角色2IAM角色新的IAM用户根本看不到任何AWS资源 但是,我认为用户将能够看到其他用户创建的资源,这不是我们所期望的 AWS资源对其所有者及其共享者可见。
新的IAM用户不应该看到任何AWS资源。我建议查看以下AWS文档中的场景3: 在AWS云中设置多用户环境 (用于课堂培训和研究) 它参考了一个“学生”环境,但是它应该适合面试候选人的测试需求 “每个用户单独的AWS帐户”场景以及可选的合并计费提供了一个极好的解决方案 为需要完全独立的帐户环境的用户提供的环境,如研究人员或研究生。 它类似于“AWS管理控制台的有限用户访问”场景,只是每个IAM用户都是在中创建的 一个独立的AWS帐户,消除了用户相互影响服务的风险。 作为一个例子,考虑一个研究实验室与10名研究生。管理员创建一个付费AWS帐户, 10个链接学生AWS帐户,每个链接帐户1个受限IAM用户。管理人的规定是分开的 每个用户的AWS帐户,并将帐户链接到支付AWS帐户。在每个帐户中,管理员 创建IAM用户并应用访问控制策略。用户可以在其AWS帐户中访问IAM用户。 他们可以登录AWS管理控制台,根据访问权限启动和访问不同的AWS服务 应用于其帐户的控制策略。学生看不到其他学生提供的资源。 此场景的一个关键优势是学生能够在完成课程后继续使用该帐户 课程例如,如果学生将AWS资源用作创业课程的一部分,他们可以继续使用现有资源 学期结束后建立在AWS的基础上
我建议查看以下AWS文档中的场景3: 在AWS云中设置多用户环境 (用于课堂培训和研究) 它参考了一个“学生”环境,但是它应该适合面试候选人的测试需求 “每个用户单独的AWS帐户”场景以及可选的合并计费提供了一个极好的解决方案 为需要完全独立的帐户环境的用户提供的环境,如研究人员或研究生。 它类似于“AWS管理控制台的有限用户访问”场景,只是每个IAM用户都是在中创建的 一个独立的AWS帐户,消除了用户相互影响服务的风险。 作为一个例子,考虑一个研究实验室与10名研究生。管理员创建一个付费AWS帐户, 10个链接学生AWS帐户,每个链接帐户1个受限IAM用户。管理人的规定是分开的 每个用户的AWS帐户,并将帐户链接到支付AWS帐户。在每个帐户中,管理员 创建IAM用户并应用访问控制策略。用户可以在其AWS帐户中访问IAM用户。 他们可以登录AWS管理控制台,根据访问权限启动和访问不同的AWS服务 应用于其帐户的控制策略。学生看不到其他学生提供的资源。 此场景的一个关键优势是学生能够在完成课程后继续使用该帐户 课程例如,如果学生使用AWS资源