回顾系列
- 场次 01:开发者的智能体架构设计路线图
- 场次 02:Amazon Bedrock 数据自动化
- 场次 03:AgentCore 上的多智能体
- 场次 04:实践中构建智能体式 AI:Nova Act 与 Strands Agents
- 场次 04:使用规格驱动开发,通过 Kiro 加速迁移项目
- 场次 06:从「匹配」到「理解」:由 AgentCore Memory 驱动的个性化 AI 搜索实践
- 场次 07:从观察到优化:从 LLM 可观测性迈向 AIOps,将实时洞察转化为智慧自动化
- 场次 08:部署 TEAM 并打造最佳工程团队
- 场次 09:五年来所谓无服务器数据库带来的五个惨痛教训
- 场次 14:如果 AI 替我工作会怎样:Q Developer CLI 与 Kiro 如何改变我的日常工作
- 场次 16:兼顾速度与警觉:Amazon Bedrock Agent 开发的安全要点
- 场次 26:在单张 H100 上运行 OSS LLM:更智能、更便宜、更快速
- 场次 28:现代统一元数据架构:打破数据孤岛的新方法
- 场次 29:无服务器 MediaOps:使用 Amazon Web Services 上的 AI 自动化视频工作流
- 场次 30:通过大规模性能测试构建兼具效率与可靠性的架构
- 场次 31:通过开源连接世界:技术、社区与全球开发者关系的实践历程
- 场次 33:构建流式 Iceberg 表以进行实时物流分析
- 场次 34:加速大规模机器人策略训练:基于 Kiro、Trainium 和 EKS 的自动化闭环架构
- 场次 35:通过规格驱动开发,从 Vibe 走向可行方案
- 场次 36:让云成本分析更智能:使用 Strands 和 AgentCore 构建 FinOps 智能体
- 场次 37:使用 CNCF Kagent、K8sGPT 和 Nova Sonic 转型 K8s 对话式智能体 AIOps
场次笔记
多账户与 IAM 设计:
- [ 1 ] 单一账户架构:
- 复杂的权限管理使安全性难以确保
- 难以追踪各工作负载的成本
- 容易发生操作错误与配额问题,导致运营困难
- [ 2 ] 多账户架构:
- 通过分离权限提升安全性
- 轻松掌握各工作负载的成本
- 将作业影响降至最低,提升运营效率 跳板账户方法:
- 设置跳板账户并集中管理 IAM 用户
- 用户登录跳板账户,再切换角色至各账户
- 各账户的权限会授予目标角色
- 使用跳板账户方法设计 IAM 的要点:
- [ 1 ] 根据实际职责建立组
- [ 2 ] 根据职责为每个账户建立角色
- [ 3 ] 为每个 IAM 组定义要切换的账户与 IAM 角色 使用 TEAM 进行访问控制:
- 应如何处理生产环境的访问控制?
- 变更管理:何时由谁访问生产环境以执行变更作业?
- 生产环境访问控制:是否能随时访问生产环境?
使用 TEAM 进行访问控制
什么是 TEAM(Temporary Elevated Access Management,临时提升访问权管理)?
- Temporary Elevated Access Management 的缩写
- 用于管理账户访问权的授权式工作流程
- 以应用程序形式提供,可通过 IAM Identity Center 访问入口网站使用 使用 TEAM 控制生产环境访问的工作流程(应用程序):
- [1/3] 目前仅具正式账户的只读权限,从应用程序中选取 TEAM
- [2/3] 建立请求
- [3/3] 因尚未获得批准,状态为待处理 使用 TEAM 控制生产环境访问的工作流程(批准):
- 批准者从「批准请求」中选取相关请求、输入注解并予以批准 使用 TEAM 控制生产环境访问的工作流程(授权):
- 已新增正式账户的访问权限
- 由于已获批准,状态现已设为「已批准」。整体团队结构:
- ① 访问 IAM Identity Center 中的 Amazon Web Services 访问入口网站
- ② 访问 TEAM 应用程序
- ③ 请求提升访问权
- ④ 批准提升访问权
- ⑤ 启用提升访问权
- ⑥ 使用提升访问权
- ⑦ 记录会话活动
- ⑧ 结束提升访问权
- ⑨ 审查请求详细数据与会话活动日志
TEAM 的设计与实施:
- 整理迁移至 IAM Identity Center 所需的权限:
- ① 整理各账户的角色与政策,建立权限集
- ② 整理跳板账户的组与政策,向 Entra ID 注册组
- ③ 建立指派并使用 CloudFormation 设计人物角色指派与批准工作流程的规则:
- TEAM 有四种人物角色(请求访问、批准访问请求、审计日志、管理规则)
- 设计人物角色指派与批准规则
- 人物角色指派设计
- 应提交哪些项目以供批准?
- 应由谁批准/拒绝?
- 授予批准的最长时间
- 通知目的地(电子电子邮件、聊天) 从小规模运营逐步扩大应用范围:
- 由小型团队进行测试运营,逐步扩大引入范围
- 个人 → 我的团队 → 整个部门
- [ 1 ] 与既有系统并行运作
- 将对业务的影响降至最低
- [ 2 ] 根据反馈检讨设置与运营方式
- 人物角色的指派是否足够?是否授予了任何非预期的权限?IAM Identity Center x TEAM:
- 使用从 Entra ID 预置的 SSO 用户
- 通过 IAM Identity Center 访问入口网站切换角色至非生产环境账户
- 在 TEAM 中获得批准后,切换角色至非生产环境账户
TEAM 的优点:
- IAM Identity Center x TEAM:
- [ 1 ] 用户观点:
- 现在跨账户切换角色更加简单
- 请求流程更短,UI 更简洁清楚
- 提升开发效率
- [ 2 ] 管理员观点:
- 摆脱 IAM 管理工作
- 人物角色指派与请求规则等设置管理现在更加简单
- 提升运营效率 摘要:
- 通过「TEAM」,所有「团队」成员皆提升了运营与安全意识
- 在多账户设置中,应考虑正式账户的访问管理
- 「IAM Identity Center x TEAM」可实现简易管控
- 引入 TEAM 可提升团队生产力、安全性与合规性
